» Помощь при лечении компьютера от вирусов

thyrannosaurus

Письмо на tut.by отправил.

Новые логи:
http://rghost.ru/2277244 virusinfo_syscure.zip
http://rghost.ru/2277253 virusinfo_syscheck.zip
http://rghost.ru/2277256 hijackthis.log

Проблема с lsass устранена, кажется, все в порядке. Спасибо.

rr3
В логах чисто

Всем доброго вечера!

Я начинала свою тему здесь - http://forum.ru-board.com/topic.cgi?forum=62&topic=21113#1

Проблема было в том, что Windows XP не загружалась до конца после заражения вирусом. Мне помог Kaspersky Rescue Disk, который, в отличие от подобного диска др.Веб, нашел целых 7 вирусов в папках system32 и Temp.
Самое главное, что после этого компьютер загрузился! А многие сомневались

Спасибо всем за помощь, особенно Twinl!

Теперь надо искать альтернативу своему антивирусу. Наверное, касперского рассмотрю как первый вариант.

удивительная редкая ситуация доктор всегда касперского побеждает. а тут еще, что доктор вообще такого вируса не знал - не бывалый случай

Столкнулся с тем же самым, с этого и юзаю касперского

Ptichka80
bomzzz
vmnetwork

Тема не для флуда

Извиняюсь что не в тему но:
РУССКАЯ ВЕРСИЯ RSIT
Random's System Information Tool (RSIT).
Итогом сотрудничества коллектива VirusNet и разработчика стала работа над русификацией компонентов и интерфейса утилиты RSIT. Русскоязычный интерфейс позволит любому пользователю уверенно выполнять, требуемые Консультантами, действия.
Для 32 разрядных версий Windows:
http://www.virusnet.info/random/ru/RSIT.exe
http://www.randomsdomain.co.uk/downloads/ru/RSIT.exe
http://images.malwareremoval.com/random/ru/RSIT.exe
Для 64 разрядных версий Windows:

http://www.virusnet.info/random/ru/RSITx64.exe
http://www.randomsdomain.co.uk/downloads/ru/RSITx64.exe
http://images.malwareremoval.com/random/ru/RSITx64.exe

http://rghost.ru/2334619
http://rghost.ru/2334646

Проблема вот в чем... ужасно тормозит компьютер - после выбора пользователя, может загружаться минуту-две. Показываются обои рабочего стола и все.Порой и зависает на этой картине... Далее, в IE пропали все панели . Даже адресной строки нет.Ничего. Просто начальная страница и рамочка программы.Всё.
Предположительно , началось всё с того,что во время открытия какого-то сайта, вылетело всплывающее окно.Далее сразу открылось такое - Справка и поддержка Windows и тд...вообщем, сначало,подумал,что это интернет-страница, но присмотревшись, понял, что уж очень не похоже на какую-либо страницу.Как будто и вправду открылась справка Windows... Это окошко было открыто 3-4 секунды ,а потом само закрылось.Как ни в чем не бывало. Комп грузанулся сразу,загрузка ЦП поднялась до 60% вроде...
Еще смущают процессы wmiapsrv.exe , alg.exe , wmpnetwk.exe ( раньше не было вмп-процесса этого) , jqs.exe , lsass.exe , csrss.exe , smss.exe

Еще забыл добавить. Логи от HJ не могу выложить - при попытке запуска сразу вылетает. Буквально десятую секунды окно весит,потом закрывается. И появляется процесс в папке с HJ - вот такой ~dummy.exe . Через переименнованный - тоже самое...
Прошу помощи,Господа

Nivi777

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qxnfiz.exe','');
QuarantineFile('C:\WINDOWS\system32\e439d588.exe','');
QuarantineFile('C:\WINDOWS\system32\51f849cd.exe','');
DeleteFile('C:\WINDOWS\system32\51f849cd.exe');
DeleteFile('C:\WINDOWS\system32\e439d588.exe');
DeleteFile('C:\WINDOWS\system32\qxnfiz.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

http://rghost.ru/2340705
http://rghost.ru/2340709
http://rghost.ru/2340704

сделать проверку через форму не удается - при загрузке архива по вашей ссылке, страница обновляется и так постоянно. Ничего не происходит.

Быстродействие системы вернулось,кстати. Вроде всё хорошо.

Nivi777

Сорри за

Цитата:

Вроде всё хорошо.

Инкубационный период .

Nivi777

Файл C:\WINDOWS\system32\mexcrs.exe убейте вручную

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Nivi777

Удалите в МВАМ http://virusinfo.info/showpost.php?p=493584&postcount=2

Код: Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Root\DoctorWeb\Quarantine\PermEdit.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Infected\2010-05-12\avz00001.dta (Trojan.VB) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Quarantine\2010-02-24\avz00001.dta (Trojan.VB) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Quarantine\2010-03-17\avz00001.dta (Trojan.VB) -> No action taken.
D:\System Volume Information\_restore{06BEEEA3-72C8-4EFC-BA3B-E3F9700A5F2B}\RP1\A0001074.exe (HackTool.Keygen) -> No action taken.
D:\System Volume Information\_restore{448D721A-BF4D-410B-B027-5F3CAF4C9722}\RP254\A0365649.dll (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

доброго времени суток. хапнул вирусняк с контакта. теперь майл и контакт требуют отправки смс. ссылка на hijackthis http://www.mediafire.com/?7smy9zphbcvbn80
на virusinfo_syscheck http://www.mediafire.com/?2kzu90k2uy2la4l
на virusinfo_syscure http://www.mediafire.com/?vfgc1e95dd7hkqb

vanek finskij
Windows заблокирован! ???

358


нет

найти код для разблокировки не удалось, есть еще какие нибудь способы удалить вирус, кроме переустановки оси?

358
Притормаживай на поворатах! Тут хелперы рулят, а остальные курят бамбук (со своими советами).
vanek finskij
Внимательно читаем шапку, выполняем необходимые условия и ждемс указания хелпера (gjf, thyrannosaurus, VlBond, Nikkollo, Oleg_Zaitsev )

vanek finskij

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mkdrv');
BC_Activate;
RebootWindows(true);
end.

спасибо thyrannosaurus!
вирус стух.

сообщение

mkdrv.sys - Rootkit.Win32.Qhost.a

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

новые логи

hijackthis.log
http://www.mediafire.com/?bufdz45fzcbfpm1

virusinfo_syscheck.zip
http://www.mediafire.com/?vcbhcp6o2n9mmbo

virusinfo_syscure.zip
http://www.mediafire.com/?858dc65oocikjdq

vanek finskij
В логах чисто

Здравствуйте господа!
Приношу свои извинения за повтор.

Возникла проблема у друга, постоянно сидел в контакте и словил какой то вирус, который напрочь заблокировал интернет! Когда пытаешься запустить браузер то на странице браузера выпадает окошечко касперского что типа ваш компьютер заблокирован из-за того что от вас исходило много спама, и ссылка на сайт вконтакте, самое интересное что сайт вконтакте и его главная страница натуральные, далее когда пытаешся войти под своим логином вылезает нечто следующее:
+++++++++++++++++++
Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Подробнее...

К сожалению, большое количество участников ВКонтакте привлекает спамеров – людей, которые массово отсылают пользователям рекламные, обычно мошеннические, сообщения. Теперь все компьютеры пользователей, с которых происходила рассылка спам-сообщений, будут требовать активации в целях предотвращения спам-рассылок и для обеспечения дальнейшей безопасности всей системы. После активации Вам предоставляется полноценный доступ к сервису, а также вводится защита от автоматической рассылки. Мы будем продолжать настраивать антиспам-фильтры, но уже сейчас количество спама должно резко сократиться!
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте смс c текстом 649052973 на номер 3353

В ответном сообщение Вы получите Ваш личный код активации.
+++++++++++++++++++
Попробовал через сайт касперсого, доктора веба подобрать код разблокировки - не подходят
Пытался проверить компьютер на вирусы, использовал cure it, avz в безопасном и livecd ничего не находит, однако cure it Говорит что файл Hosts модифицирован и он его восстановит, он его восстанавливает и все равно ничего не работает.
Прошу помощи господа!
Заранее спасибо большое!

И еще, тов thyrannosaurus, подскажите пожалуйста, Вы подбираете скрипт для каждого пользователя индивидуально, исходя из процессов?

NordBoB

Цитата:

И еще, тов thyrannosaurus, подскажите пожалуйста, Вы подбираете скрипт для каждого пользователя индивидуально, исходя из процессов?

Именно так. Правила в шапке темы. Выполните их

Проблема решилась переустановкой windows. Понимаю что это слишком, но зато 100%-но

NordBoB

Цитата:

100%-но

не всегда, яркий пример тому вирус Sality (sector)

Ребята всем привет.9 не стал новую тему создавать решил попробовать здесь. потому что подазрения на вирус всё же есть хотя чем я только не проверял. нет находить находит и удаляю я их..но вить должны же они когда то закончиться? последнии разы уже проверял их не было..
но проблема не разрешилась до сих пор.
У меня такая проблема..svchost.exe грузит мой бук на 50 процентов (ну вить это не дело правда)
Честно сказать материала в сети море но я не нашёл там где действительно человек вернулся и сказал да мне этот способ помог..только болтовня не чего полезного.
Я сделал скрин где видно процессы и от куда они .
и отчёт по системе
1 полный

2 только програмное обеспечение (он меньше)



теперь раскажу что я пытался сделать..
я проверял на вирусы, шпионские программы всё что только можно..антивирусом аваст, др.веб бесплатная софтина сурит или не помню точно как она называется..затем speyware doctor
к стате хочу написать своё мнение..мне кажется это и началось после очередной зачистки такого рода..когда ищешь троянец и вирусы и всё такое..
только что мысль пришла пойду карантин проверю..
ребята вы последняя надежда если вы не сможете помочь я буду винду сносить..

Если кому довелось столкнуться с такой штукой

Ваша страница заблокирована!
Поскольку с вашего компьютера происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Подробнее...
Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что вы являетесь настоящим владельцем данной страницы, для этого отправьте смс c текстом 1629018528 на номер 6681

В ответном сообщение Вы получите Ваш личный код активации.

смс и текст могут быть разными.

Вот лечение.

nesnakomez
Выполните правила (см. шапку темы)

Здравствуйте!
Принесли ноут с самодельной сборкой XP SP3
Весь кишил вирусами. Более мене всё вычистил но осталась проблема, собственно с которой и обратились: При включении система находится в полуподвешеном состоянии. т.е. если навести мышу на панель задач, то появляются песочные часы (висит) и ничего не нажимается. Alt+Ctrl+Del не работают. Ярлыки на рабочем столе работают. При попытке открыть один из локальных дисков весь эксплорер висит. Проходит минут десять, инициализуется сетевой интерфейс (появляется значёг в трее и значёк звука), всё начинает работать.
Логи: http://rghost.ru/2431085 (только вот инета на машине небыло, так что один из логов делал без него)