» Помощь при лечении компьютера от вирусов

ynbIpb
проверьте, пожалуйста, файл C:\Program Files\Internet Explorer\xpsp2res.dll на virustotal
Ссылку на результат проверки сообщите

он отсутствует, даже пробовал папку с таким именем создавать (вдруг руткит прячет)
удалил из реестра автозагрузку с ним. перезагрузился. всё также. висит 10 минут и оживает система.

ynbIpb
- попробуйте удалить из автозагрузки все, кроме видеокарты и звука(временно) - лучше использовать программу STARTER. Если поможет, то включайте по очереди то , что отключили...
- в момент тормозов откройте панель задач и по одному завершайте процессы
...может и поможет(был один раз такой же случай - на ноуте завирусованных файлов было более сотни и в автозагрузке стояло около 10...12 программ...)

Такие же симптомы, как у ynbIpb + не запускаются системные службы.
http://rghost.ru/2432171

в том то и хитрость, что процессор никто не грузит. просто как будто выжидает чегото.

---------- updated ---------
Всё! я этот ноут победил.
Причина этой задержки была в звуковых дровах (видимо вирусы что-то повредили).
Наблюдал сдедущую картинку:
Сразу после перезагрузки в диспетчере устройств появляются некие устройства в секции звуковых с восклицательным знаком (типа "Синтезатор DLS ядра системы" и т.д.). И так в течении этих десяти минут прибавляется по одному, в итоге их становится около пяти. В свойствах видно, что они используют дрова винды. Я их тупо выключил, перезагрузился. винда сразу стартанула со звуком и сразу проинициализировала звуковуху. В диспетчер устройств смотрю, а там этих устройств и нет вообще.

ynbIpb
Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus, AVZ файл тоже не обнаружил, в папке карантина появилось только 2 ini файла с информацией что искомый файл весит 0 байт.
Видимо это потому, что я удалил из реестра упомянание о нём и вобще снёс всю папку Internet Explorer на диске C:\ ибо система тут установлена чьими то кривыми руками на F:\
Сделал ещё раз сбор логов, теперь в логах нет информации о нём. Всё ноут отдаю хозяину (уверен, что через неделю будет опять полон живности).

Спасибо всем.

thyrannosaurus

Цитата:

Сами блокировали?

да,
политика домена

после скрипта вроде бы полегчало, загружается быстро, спасибо.
а что такое
Цитата:

wpsdrvnt.sys

?
антивирус можно ставить уже?


Цитата:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Цитата:

quarantine.zip из папки AVZ отправьте через данную форму.

в папке карантина в директории AVZ файлы есть, но zip файл отсутствует.

новые логи
http://rghost.ru/2435376

konungster

Папку C:\Program Files\Common Files\wm, файл C:\windows\system32\tmp.tmp удалите вручную

C:\windows\PSEXESVC.EXE - что за файл?

Больше плохого не видно

Цитата:

Папку C:\Program Files\Common Files\wm

удалил, она пустая

Цитата:

C:\windows\system32\tmp.tmp удалите вручную

удалил, он 0-го размера
C:\windows\PSEXESVC.EXE - по идее, это остатки утилиты psexec.exe Руссиновича (создается служба psexecsvc, когда я к нему подключаюсь через psexec).


Цитата:

Больше плохого не видно

Спасибо большое за помощь. Вот к чему приводит дать пользователю временно права локального администратора...

Прошу помощи
Взял у приятеля нетбук на время (в отпуск), а он - заражает флешки!
Создаёт скрытую сист. папку "FLOKS", а в ней вирус -     FLOKSwo3.exe.
Стоит Аваст 5.0.594, (обновлённый), но его не видит. Но на своём буке, НОД-4 - сразу
убивает!
Вот что у приятеля:
Имя ОС    Microsoft Windows XP Home Edition    
Версия    5.1.2600 Service Pack 3 Сборка 2600    
Изготовитель ОС    Microsoft Corporation    
Имя системы    FLOKS    
Изготовитель    SAMSUNG ELECTRONICS CO., LTD.    
Модель    NC10    
Тип    Компьютер на базе X86
Утилитой Dr. Web CureIt - просканил, нашёл несколько вирусов, но проблема осталась!
Обновлений не установлено, IE-6. Сам я ничего обновлять не буду, т.к.
комп не мой, сами понимаете...
Просто помогите убить зловреда! Вот логи:
http://rghost.ru/2482214 - virusinfo_syscure.zip
http://rghost.ru/2482230 - virusinfo_syscheck.zip
http://rghost.ru/2482249 - hijackthis.log

alexpost777
Без обновлений лечение проводить бессмысленно, поскольку сразу после лечения Вы подхватите заразу из сети по неустранённым уязвимостям.

Компьютер подключен к сети (неважно - с интернетом или без - просто к сети)?

gjf

Цитата:

Компьютер подключен к сети (неважно - с интернетом или без - просто к сети)

Нет. Это нетбук.

alexpost777
Ну разве что при таком раскладе... Тогда начнём.
Обновите AVZ. После скачивания - обновите базы. Логи - переделать.

Вот, всё сделал:
http://rghost.ru/2484281 - virusinfo_syscure.zip
http://rghost.ru/2484295 - virusinfo_syscheck.zip
http://rghost.ru/2484309 - hijackthis.log

alexpost777
- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\862a~1\locals~1\temp\msfw.exe','');
DeleteFile('c:\docume~1\862a~1\locals~1\temp\msfw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Вот новые логи:
http://rghost.ru/2486677 - virusinfo_syscure.zip
http://rghost.ru/2486692 - virusinfo_syscheck.zip
http://rghost.ru/2486715- hijackthis.log
Правда, флешку я "вылечил" ещё раньше, на другом компе.
Карантин отправил "куда следует".
Сегодня больше ничего не смогу - убегаю по делам!

gjf
Огромное спасибо! Всё работает! Чисто ли в логах?

alexpost777
Да, всё чисто. Ссылку на карантин уберите - не будем заниматься распространением заразы.

И всё же подумайте об обновлениях. Лишними они не будут.

Желаю успехов.

Насчёт обновлений - товарищу скажу, пусть сам решает!
Ответ от Касперского нужен будет, или уже не размещать?

alexpost777
На Ваше усмотрение

Уважаемые форумчане, прошу помочь.
Ситуация следующая - на ноутбуке возникли неполадки - комп не видит СД/ДВД, не открывает юсб-носители, не дает открыть содержимое логических дисков, слетела Опера 10, система тормозит.
Началось после того как супруга полазила по нету, покачала музыки с разных сайтов.
Подозрения на вирусы.
Интернет работает, но очень тормозит. На сайт ДрВеба не пускает, на касперского зашел, скачал AVPTool. Проверил систему нашел - HackTool.Win32.Patcher.ah, Packed.Win32.Krap.ao, Packed.Win32.Krap.hr, Backdoor.Win32.Shiz.ut, Backdoor.Win32.Shiz.ok, Backdoor.Win32.Shiz.pg. Антивир удалил их, но проблемы и вышеописанные симптомы остались. Также не пускает на virusinfo.info.
Самое что интересное - нет возможности загрузиться с любого загрузочного диска. Любого! Пробовал три. Работали точно. С одного (Зверь) ставил систему 2 месяца назад. А сейчас сообщение - диск не загрузочный. Также система не видит содержимое СД-диска, как будто диска нет в дисководе. ЮСБ носители тоже не видит.
Рад переставить систему, потеряв все данные, но как?
Система XP SP3, антивирус стоял Авира, базы свежие.
На флешке которую пытался открыть на ноутбуке обнаружился файл авторана и файл "usb.wsf" следующего содержания:
[AutoRun]
open=wscript usb.wsf
shellexecute=wscript usb.wsf
action=install USB_Autorun_Remover
shell=open
UseAutoplay=1
shell\open\Command=wscript.exe usb.wsf
shell\explore\Command=wscript.exe usb.wsf

Самое главное для меня - чтобы заработали юсб устройства и комп стал загружаться с СД-дисковода. После этого систему все равно переставлю.

Да, в реестре в ветке "RUN" перед именами каталогов стоит "1" - это сделал я, т.к. система дико тормозила и я тем самым хотел отключить все доп. процессы. Если будет нужно - верну все на свои места.
Заранее спасибо.
Логи:
virusinfo_syscure.zip
http://rghost.ru/2496324

virusinfo_syscheck.zip
http://rghost.ru/2496346

hijackthis.log
http://rghost.ru/2496354

Добавлено:
В диспетчере оборудования появились два новых устройства:
- Звуковой дешифратор DRM ядра системы
- Синтезатор DLS ядра системы
такого у меня точно нет

Ситуация такая, пару дней назад обнаружил, что не ходит на вирустотал и вирусинфо, сегодня проверил сайты других антивирусных компаний - пинга нет. Перетыкнул сетевой кабель в соседний системник - всё работает. Сканировал KIS2010 - пусто, пробовал CureIt, AvpTool - тот же результат. В rku ничего необычного не видно.
Логи avz:
http://rghost.ru/2496177

ElCrabe
ElCrabe,
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('c:\windows\system32\msu1OrL.exe','');
QuarantineFile('c:\windows\system32\5VyJ7fX.exe','');
DeleteFile('c:\windows\system32\5VyJ7fX.exe');
DeleteFile('c:\windows\system32\msu1OrL.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
ExecuteRepair(20); {удаление статических маршрутов в настройках TCP/IP}
BC_Activate;
RebootWindows(true);
end.

gjf
Большое спасибо, всё работает !

gjf
Спасибо. На автивирусные сайты заходит. Уже плюс.
ЮСБ устройства и СД-диски не видит. Загрузка с СД не происходит.


Цитата:

Ни один вирус не может запретить загрузку с диска - проверьте настройки BIOS. В противном случае у Вас что-то с железом.

Дя я тоже об этом думал. В биосе все нормально. Там вообще практически ни каких настроек. Получается, что это совпадение заражения вирусом и поломки железа?
Вот такой еще вопрос. Если не работать под админом, пользоваться записью пользователя - это надежно предостережет от вирусов и всякой заразы? КАкие действия должны быть недоступны пользователю?

ivanovand

Цитата:

Получается, что это совпадение заражения вирусом и поломки железа?

Не знаю. При загрузке компьютера вирусов нет - работает набор команд, прописанных в BIOS. Если в лотке находится загрузочный диск и в порядке загрузки прописан сначала CD-ROM, а потом HDD - ничто не может помешать загрузиться с CD-ROM.


Цитата:

Если не работать под админом, пользоваться записью пользователя - это надежно предостережет от вирусов и всякой заразы? КАкие действия должны быть недоступны пользователю?

Чем ограниченней учётка - тем лучше. Даже создание просто пользователя по умолчанию (не администратора) - уже спасает положение. Дальнейшая настройка политики безопасности зависит от задач и использования компьютера. В Сети множество обсуждений на эту тему и собственно это несовсем тема для обсуждения здесь

Добрый вечер- создал 3 лога, пож обьясните, что имеется в виду записью- подробное описание: я обьясняю свои действия при создании логов? И ещё могу ли я просто их отправить на адрес, и что именно/ в папке AVZ 2 архива и два файла/.

gerbar
Описание, почему Вы решили, что у Вас заражение - проблема в чём?
Ничего отправлять не надо - выкладываете на файлообменник два архива.

Цитата:

[/q]
alexpost777
[q]gjf

Цитата:Компьютер подключен к сети (неважно - с интернетом или без - просто к сети)

Нет. Это нетбук.

Так он к сети подключен или нет? Не понял я совсем