Нужна помощь. Подозрение на вирусы

wreder · 19.12.2010, 05:19

Проявление проблемы: при входе и совершении любого действия компьютер показывает песочные часы и ни на что больше не реагирует (во всех учетных записях). Операции можно совершать только в Безопасном режиме. На вирусы сканировал avast'ом и dr web'ом - видимо что-то осталось.

Прошу помочь. Вот ссылки на AVZ и HiJackThis логи:

virusinfo_syscure

hijackthis

Заранее благодарен.

Iljeben · 19.12.2010, 06:08

wreder, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

wreder · 19.12.2010, 15:48

Сделал как Вы сказали. Вот ссылка на лог:

virusinfo_syscheck

Спасибо.

Iljeben · 19.12.2010, 16:48

wreder, в нормальном режиме все еще не получается лог сделать?

Такой лог сделайте:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссылку выложите на форум.

wreder · 19.12.2010, 17:58

Iljeben, сделал лог virusinfo_syscheck уже в нормальном режиме. Ваш первый скрипт оказалось помог, вот только система иногда подвесает при обращении к папкам.

Ссылка на лог:
virusinfo_syscheck.zip

Тогда новую операцию mbam нужно делать?

Iljeben · 19.12.2010, 18:12

wreder, вот этот файл:

Цитата:

C:\Program Files\crazybump\crazybump.exe

проверьте на virustotal.com ссылку на результат проверки пришлите. Плюс ждем лог МВАМ.

З.ы. разберитесь с остатками Аваст и др.Веб.

wreder · 19.12.2010, 20:11

Iljeben, Аваст и Веб почистил. Отключил все службы кроме майкрософтовских, Plug and Play и адаптера производительности. Теперь на первый взгляд все работает.

Лог mbam:
mbam-log-2010-12-19 (20-59-26)

Лог проверки с virustotal.com (просто скопировал таблицу в блокнот):
log

Iljeben · 19.12.2010, 20:19

Удалите в МВАМ:

Цитата:

Memory Processes Infected:
c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> 1424 -> No action taken.
c:\WINDOWS\gwdrive32.exe (Trojan.Agent) -> 3188 -> No action taken.

Registry Keys Infected:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\MSODESNV7 (Backdoor.Bot) -> Value: MSODESNV7 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.Agent) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> No action taken.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-2752876425-2609128461-166817648-8306\csidrv.exe,explorer.exe,C:\Documents and Settings\Home\Application Data\ltzqai.exe) Good: (Explorer.exe) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Files Infected:
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\OONTECO3\qlevd[1].gif (Extension.Mismatch) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\P13EG2CI\ctvtm[1].bmp (Extension.Mismatch) -> No action taken.
c:\documents and settings\Home\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
c:\documents and settings\Home2\application data\ltzqai.exe (Worm.Palevo) -> No action taken.
c:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS\gwdrive32.exe (Trojan.Agent) -> No action taken.

Пришлите новый лог AVZ. Опять нахватались.

wreder · 19.12.2010, 22:24

Iljeben, удалил все в MBAM.

Новый лог AVZ:
virusinfo_syscheck.zip

Вот ссылка анализа crazybump.exe на virustotl:
ссылка

goredey · 19.12.2010, 22:37

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\crazybump\crazybump.exe','');
 QuarantineFile('C:\WINDOWS\system32\68.exe','');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\26.exe','');
 QuarantineFile('C:\WINDOWS\system32\17.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\WTMKM.exe','');
 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\WTMKM.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\68.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MacrokeyManager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

wreder · 21.12.2010, 04:24

goredey, архив отослал, ссылку указал, название вписал. Уже сутки прошли - ответа нет. Так и должно быть или я что-то не сделал?

Iljeben · 21.12.2010, 05:44

wreder, выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

wreder · 21.12.2010, 20:35

Iljeben, Вот:
virusinfo_syscheck.zip

Iljeben · 21.12.2010, 20:59

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 TerminateProcessByName('c:\windows\gwdrive32.exe');
 TerminateProcessByName('c:\docume~1\home\locals~1\temp\743174.exe');
 TerminateProcessByName('c:\docume~1\home\locals~1\temp\729651.exe');
 TerminateProcessByName('c:\docume~1\home\locals~1\temp\6768262.exe');
 TerminateProcessByName('c:\docume~1\home\locals~1\temp\570.exe');
 DeleteFile('c:\docume~1\home\locals~1\temp\6768262.exe');
 DeleteFile('c:\docume~1\home\locals~1\temp\729651.exe');
 DeleteFile('c:\docume~1\home\locals~1\temp\743174.exe');
 DeleteFile('c:\windows\gwdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\570.exe');
 DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\729651.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
 DeleteFile('C:\Documents and Settings\Home\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-6146193858-0085486370-339276201-6322\csidrv.exe,explorer.exe,C:\Documents and Settings\Home\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 DeleteFile('c:\docume~1\home\locals~1\temp\570.exe');
 DeleteFile('C:\WINDOWS\system32\03.exe');
 DeleteFile('C:\WINDOWS\system32\05.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\15.exe');
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\25.exe');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\28.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\42.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\54.exe');
 DeleteFile('C:\WINDOWS\system32\55.exe');
 DeleteFile('C:\WINDOWS\system32\61.exe');
 DeleteFile('C:\WINDOWS\system32\62.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\72.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\80.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

wreder · 22.12.2010, 00:08

Iljeben, Готово:
virusinfo_syscheck.zip

Спасибо, что помогаете!

19.12.2010, 05:19	#1 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Нужна помощь. Подозрение на вирусы Проявление проблемы: при входе и совершении любого действия компьютер показывает песочные часы и ни на что больше не реагирует (во всех учетных записях). Операции можно совершать только в Безопасном режиме. На вирусы сканировал avast'ом и dr web'ом - видимо что-то осталось. Прошу помочь. Вот ссылки на AVZ и HiJackThis логи: virusinfo_syscure hijackthis Заранее благодарен. Последний раз редактировалось wreder; 19.12.2010 в 05:31.

19.12.2010, 20:11	#7 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Iljeben, Аваст и Веб почистил. Отключил все службы кроме майкрософтовских, Plug and Play и адаптера производительности. Теперь на первый взгляд все работает. Лог mbam: mbam-log-2010-12-19 (20-59-26) Лог проверки с virustotal.com (просто скопировал таблицу в блокнот): log Последний раз редактировалось wreder; 19.12.2010 в 20:32.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Уверен. вирусы! но нужна вша помощь!!!!	Пeneral Volf	Безопасность	4	09.01.2011 16:00
Подозрение на вирусы.	Sinlol	Безопасность	10	04.01.2011 22:42
Подозрение на вирусы	Istarion	Безопасность	6	11.11.2010 21:33
Есть подозрение на вирусы	nekto202	Безопасность	5	09.11.2010 01:24
Подозрение на вирусы.	SacredHash	Безопасность	0	02.09.2010 19:56
Подозрение на вирусы	Слепой Пью	Безопасность	2	07.06.2010 16:47
Подозрение на вирусы	Настя5	Безопасность	1	31.03.2010 21:47
Решено: Подозрение на вирусы	Ferera	Безопасность	39	22.03.2010 07:38
Подозрение на вирусы	Vo Vo	Безопасность	4	13.03.2010 10:35
Есть подозрение на вирусы	серый кот	Безопасность	9	25.01.2010 18:43
Подозрение на вирусы	isx	Безопасность	12	17.01.2010 20:22

19.12.2010, 15:48	#3 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Сделал как Вы сказали. Вот ссылка на лог: virusinfo_syscheck Спасибо.

19.12.2010, 17:58	#5 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Iljeben, сделал лог virusinfo_syscheck уже в нормальном режиме. Ваш первый скрипт оказалось помог, вот только система иногда подвесает при обращении к папкам. Ссылка на лог: virusinfo_syscheck.zip Тогда новую операцию mbam нужно делать?

19.12.2010, 22:24	#9 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Iljeben, удалил все в MBAM. Новый лог AVZ: virusinfo_syscheck.zip Вот ссылка анализа crazybump.exe на virustotl: ссылка

21.12.2010, 04:24	#11 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	goredey, архив отослал, ссылку указал, название вписал. Уже сутки прошли - ответа нет. Так и должно быть или я что-то не сделал?

21.12.2010, 05:44	#12 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	wreder, выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

21.12.2010, 20:35	#13 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Iljeben, Вот: virusinfo_syscheck.zip

22.12.2010, 00:08	#15 (ссылка)
wreder Новичок Регистрация: 19.12.2010 Сообщений: 55 Репутация: 0	Iljeben, Готово: virusinfo_syscheck.zip Спасибо, что помогаете!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads