» Помощь при лечении компьютера от вирусов

Цитата:

синий экран, с ошибкой 0х0000008E(0xC0000005, 0x8066AEB1, 0xACA15B14, 0x00000000)

Цитата:

Примечание: ошибки 0x00000050 и 0x0000008E в большинстве случаев указывают на неисправную RAM память.

Источник

А по сути - идеальной защиты не существует.

Просканируй ПК вот этим. По моему судя по процессам - у тебя не все трояны убиты.

Сегодня утром стокнулся с проблемой: Не могу войти не на один форум (либо правильный пароль не принимаеться, либо скрипт входа не срабатывает).
Помогла только Opera 9.64 (оставшаяся копия папки).
Сразу заподозрил вирусы. Как косвенный признак - смена домашней страницы IE на http://webvolta.ru/.


Прошелся KIS. Нашел и обезвредил Backdoor.Win32.Spammy.nk.
Теперь я могу входить на форумы.
Просьба помочь в удалении остатков вредоносного ПО если оно еще есть в системе.
Логи:
http://www.mediafire.com/?33toc41tp90mcat virusinfo_syscure.zip
http://www.mediafire.com/?ybqxnci9qeondo7 log.txt
http://www.mediafire.com/?t4owyfi3mhbhk18 info.txt

Alex_Caspersky
Лог AVZ распаковать не могу. Ругается на неизвестный формат файла

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Dmitriy05
Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\dmitriy\application data\netprotocol.exe');
QuarantineFile('c:\documents and settings\dmitriy\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\dmitriy\application data\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus
Логи:
http://www.mediafire.com/?wq2jws4ucr283o3 virusinfo_syscure.zip
http://www.mediafire.com/?9vv3d6n5w5vn0j7 log.txt
http://www.mediafire.com/?nccfdi2d8ql775n info.txt

[KLAN-105777959]

Dmitriy05
Плохого не увидел

thyrannosaurus

Цитата:

Лог AVZ распаковать не могу. Ругается на неизвестный формат файла

Видимо это из-за того, что нормально не смог перезагрузится, архив не до конца был создан.
Вот, выполнил скрипт по новой, перезагрузка прошла без синего экрана, файл рабочий:

avz4

Не могу просканировать combofix'ом, следуя инструкциям, он то зависает, то опять же при финальной перезагрузке выдаёт синий экран, из-за этого файл с логом не создаётся.

thyrannosaurus
Спасибо!

Уважаемые, я тут в теме:
Kaspersky Internet Security - KIS (часть 8)
http://forum.ru-board.com/topic.cgi?forum=5&topic=35152&start=520#19

задал вопрос по KIS2011. Точнее, глюк это антивируса, или действия вируса, или действие вируса на антивирус. Так там мне и не ответили. Попробую тут...
Смысл вопроса в том, что КИС каждый день(уже недели две) показывает в отчете о вирусах в каталоге. Этот каталог был ранее завирусован и удален соответственно. А КИС все не успокоится...

Alex_Caspersky
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Новые логи
avz4
info.txt
log.txt

Alex_Caspersky
Выполните скрипт:

Код: begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
end.

gjf
Да, конечно, карантин был отправлен по форме!) Жду ответа. Как прейдет сообщу здесь.

Спасибо вам огромное за проделанную работу! Вы делаете неоценимую потддержку!))

К стате при включении системы постоянно выдаёт окно "в документах xml (0,0) присутствует ошибка", даже не знаю что это? Потом погуглю...


Вот сейчас ещё заметил проблема со звуком в опере осталась.
Выводится ошибка "точка входа в процедуру SetupDiDestroyDeviceInfoList не найдена в библиотеке DLL SETUPAPI.dll". Звук не работает, видео проигрывается...
Проблема не новая на virusinfo.info кто то уже боролся с подобной, с помощю AVZ, и всё излечилось. Вот только скрипт был не указан. Может быть вы подскжете?

Alex_Caspersky
SETUPAPI.dll подозревается на вредоносность, потому я и жду ответа по карантину.

gjf
Пришёл ответ от Лаборатории Касперского.
"Вредоносный код в файле не обнаружен."

Alex_Caspersky
Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus
Новые логи
avz4
info.txt
log.txt

Звук в опере востоновился, работает как и прежде.

ComboFix в безопасном так же выдаёт синий экран. Лог не создаётся. При всей работе ComboFix как и в нармальном режиме постоянно появляется ошибка "Приложение или библиотека C:\Windows\sistem32\mssfc.dll не является образом программы для Windows NT. Проверте назначение установочного диска."

Alex_Caspersky

Цитата:

Восстановление системы: включено

Это Вы сделали? Отключить немедленно и не включать, пока Вам не скажут.
Сделайте лог с помощью GMER.
gmer.log

Добавлено:

Цитата:

Пришёл ответ от Лаборатории Касперского.
"Вредоносный код в файле не обнаружен."

Сообщите номер заявки (в теме письма - KLAN-??????).

gjf


Цитата:

Это Вы сделали? Отключить немедленно и не включать, пока Вам не скажут.

Даже и в мыслях не было. 100% было включено не вручную! Я вообще удивился, что она включена, когда ещё первый раз смотрел, потому что не пользуюсь ей. Отключил.


gmer.log


Номер заявки 105817766

Alex_Caspersky

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
DeleteFile('%windir%\system32\drivers\sfc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end.

thyrannosaurus

Ответ с Лаборатории:
Номер заявки 106148309
"Вредоносный код в файле не обнаружен."

Логи:
avz4
МВАМ

Alex_Caspersky
c:\WINDOWS\system32\sfcfiles.dll замените с дистрибутива http://virusinfo.info/showthread.php?t=51654 или аналогичной системы

После этого выполнте скрипт

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end.

Здраствуйте, стоит виндовс 7, internet explorer никогда не пользовался, в диспечере задач сами по себе появляются процесы iexplore.exe удаляю через некоторое время опять появляются со временем всё больше и больше, открытого окна вообще нет только процесы

Ссылка virusinfo_syscure.zip
Ссылка info.txt
Ссылка log.txt

geka1rt08

Пофиксите в HiJack

Код: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - (no file)
O3 - Toolbar: (no name) - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - (no file)

Что значит Пофиксите в HiJack?

geka1rt08
http://virusinfo.info/showthread.php?t=4491

Ето всё?нащёт Canon Easy-WebPrint EX BHO ето проблемы драйвером?

geka1rt08
Это наличие записи в реестре и отсутствие соответствующего файла на диске. Проще говоря - мусор в реестре.

А можна ещё вопрос, у меня драйвера к принтеру стоялм на ХР всё норм было на руском, поставил 7 ставлю драйвера руского языка нет, сможетепомочь?

че за драйвер? с одного и того же диска?

Да с оригинального диска с принтером шол , драйвер и утилиты для работы принтера с ПК