» Помощь при лечении компьютера от вирусов

gjf
Спасибо !
Я подозреваю, что эта гадость лезет с перепаков маленьких игрушек, которые раздают на наших торрентах. Такой перепак сделанный с помощью Smart Install Maker проверяется Каспером и всегда чист. НО, во-первых его нельзя распаковать и выделить то что надо, во-вторых они пытаются засунуть туда свой тулбар, но это легко решается отказом в лиц. соглашении, а в-третьих, и это очень неприятно, они меняют домашнюю страницу в ИЕ и это терпимо, я его не юзаю, но самое обидное еще иногда в Опере и Хроме. И вот этот файлик, очевидно и есть "в-четвертых".
Я знаю, что можно не качать эти перепаки, а немного поднапрячься и найти нормальный релиз, но иногда лень берет свое .
Посему такой вопрос, как уберечься от:
1. изменений в автозапуске (я посматриваю на AnVir Task Manager)
2. изменений домашних страниц в первую очередь в Опере и Хроме, в ИЕ не так важно
3. и какая та софтина, которая мониторила бы все происходящее во время инсталляции, это очевидно какой-то Total Unninstall и иже с ним
Большое желание получить это все в одном флаконе и не ввиде суперкрутого фаерволла, ну хотя бы первые 2 пункта, а 3-ий пункт можно запускать перед самой инстолляцией.
Какие будут рекомендации уважаемого специалиста ?

Trex
За этим не в эту тему

Trex
Добавили Trojan-Clicker.Win32.Delf.fak.

gjf
Ага, добавили, но криво, после нахождения файла и попытки очистки, выпало куча ошибок и винда ушла в перезагрузку, а потом не поднялась нормально и пришлось поднимать ее через сейф мод, хорошо что оживил...

всем привет. ноут с Вистой х32 на борту.. Был блокер. Его снес, прописался он в реестре, параметр Shell.
диспетчер задач подменен калькулятором)). реестр вроде поправил. диспетчер под висту не нашел с трех ссылок, поэтому приклеил альтернативный Anvir. Антивир NOD32 ESS. проверялся каспром и доктором вебом, еще проверял Malwarebytes' Anti-Malware которая нашла 2 записи в реестре, что-то похожее на подмену загрузочной страницы браузера на webalta.ru... -удалено.

Вроде все работает, но оказалось рвется инет.. после перазагрузки через пару минут отваливается соединение. сразу просмотрел в файле hosts была лишняя строка с значением "::1"
[more]# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
::1
[/more]
почти уверен что именно в нем и была проблема.. Я прав??? файл исправил. может быть что-то еще зловредное найдете???
логи тут или тут

C:\6546464 - папка бэкапа настроек
C:\5c.exe - CureIt
C:\AnVir - анвир

ramzes83
Чисто.

gjf
чисто как в операционной??))
копал копал..... глубоко копал.. служба сетевой диагностики не запускалась.. сто-то еще.. потом обратил внимание, что в диспетчере задач некоторые дрова подбитые.... переустановка дров не помогла никак.. и плюс еще sfc /scannow показал кучу испорченых файлов... Так как дистра вистты не было. переустановка win7 решила проблему.
Спасибо за оперативность.

ramzes83
Зря копали. Описанное Вами вполне могло быть не следствием инфекции, в частности
Цитата:

в файле hosts была лишняя строка с значением "::1"

- обычное явление при включении IPv6.

gjf
ранее такое не попадалось
Цитата:

обычное явление при включении IPv6

поэтому и не знаю как верно. а так а причину сбоев инета искал.. то есть, то нет... трояны, и прочий мусор примерно так же работает. Ну зато теперь уже буду знать, в каком направлении следовать)

подскажите как скачать и запустить доктор веб live CD

olegon53
Все вопросы - в Центральную Прачечную службу поддержки DrWeb.

жалобы сотрудницы: "открываю интернет и компьютер перезагружается".
в логах системы вроде бы все чисто, кроме записи о превышении лимита подключений tcp.

http://rghost.ru/4582461

Вот это странно, при выполнении скрипта №3 такого быть не должно:

Цитата:

Режим лечения: выключено

До этого удалялку вирусов от Касперского использовали?

Выполните такой скрипт:

Код: begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

мне этот ноутбук ещё с поры как его купили не понравился ))

Цитата:

До этого удалялку вирусов от Касперского использовали?

только AVP tool с последующей деинсталляцией и перезагрузкой


Цитата:

После этого - только скрипт AVZ №3 соберите и выложите тут.

готово!
http://rghost.ru/4582987
на всякий пожарный удалил есет

konungster

Цитата:

только AVP tool с последующей деинсталляцией и перезагрузкой

Ну я это и вижу

Чисто. Уберём хвосты от AVZ. Выполните скрипт:

Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.

gjf
спасибо

добрый день. снова я. На работе минимум 2 компа (рядом стоящие) XP антивирус NOD32 последние базы.С неделю фаервол нода блокирует попытки подключения , если не ошибаюсь ИЗ инета на комп. Таких фапйлов с цифровым названием бывало до 10 штук, сейчас 4. Еще несколько раз наблюдал на разных машинах (NOD32 и DrWeb6) в корне системного диска этот файл, пароль virus. При чем интересный факт, один и тот же файл с разных компов отличается: 1 и 2. Может быть доктор веб файл №1 уже полечил?... №2- под нодом был.
После блокировки доступа фаерволом, или вместе, появляется это. обычно 1 раз при включении компа. было и по 7 раз...

Зачистку начал на 1 компе.
Логи http://zalil.ru/30606114

ramzes83
1. C:\Program Files\Remote Manipulator System - Server\rutserv.exe - это Вы устанавливали?
2. Сделайте лог с помощью MBAM.

gjf
да. это аналог радмина. там все чисто
[more]Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5940

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

03.03.2011 13:45:45
mbam-log-2011-03-03 (13-45-12).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)
Просканированные объекты: 229230
Времени прошло: 41 минут, 9 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 6

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\eset_eternal_trial\wpa_kill2\antiwpa_crypt.dll (Hacktool) -> No action taken.
c:\program files\elcomsoft\advanced registry tracer\uninstall.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken.
e:\ramzes\Штрих\kassy07\loader.exe (Trojan.Kates) -> No action taken.
e:\rezerv_copy\_tub\ws 1 lab\c\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
e:\rezerv_copy\_tub\ws3 doc\disk C\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
[/more]
так-то эти файлы последствия активации венды... и одного вьвера паролей. можно убивать)
:\eset_eternal_trial\wpa_kill2\antiwpa_crypt.dll (Hacktool) -> No action taken.
c:\program files\elcomsoft\advanced registry tracer\uninstall.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken.

ramzes83
Удалите в MBAM.

Код: e:\rezerv_copy\_tub\ws 1 lab\c\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
e:\rezerv_copy\_tub\ws3 doc\disk C\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.

В общем хотел сделать все то, что написано, но KIS 2011 не хочет обновляться, выдает ошибку 80000100
Система - 7ка х64 SP1. Касперский AVP пока ничего не нашел.
Каждые секунд 10 появляется окно "Запуск программы невозможен, так как на компьютере отсутствует wininet.dll..." хотя этот файл есть. Есть мысль, что это появилось после установки последнего IE9 с сайта майкрофоста, потому что после перезагрузки это началось, папки открываются каждая в новом окне, хотя стоит чтобы в одном окне открывалось.
Пробовал удалить wininet.dll но он не удаляется никак, даже когда я загрузил с СД диска систему, даже в безопасном режиме, атрибуты того, кто что может с ним делать (ну система или админ) не меняются.
чуть позже сделаю все логи, а то не хочется ставить систему с 0

shamo365

Цитата:

чуть позже сделаю все логи

Вот как только - так и сразу.

KIS 2011 и RemoveTools ничего не нашли, а AVZ не запускается, пишет снова за этот dll

shamo365
В меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter.

Код: sfc /scannow

gjf
добрый день. с тем компом пока завязал. Поставил новую систему. сразу антивир NOD32. после включения в общуюю сеть сразу полезла эта зараза. Общие признаки тут http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=840#21
Чистая венда XP-SP3. установил неделю назад примерно. Последнее что ставил, так это пунтосвичер с офсайта. Еще вчера ночью все было чисто (работал удаленно). Сегодня все компы в сетке включились. и сразу после включения моего подопытного все повторилось.

логи http://zalil.ru/30638394
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll - удалил, пока не появлялось...
софт AxxonSoft\AxxonSmart\ установил практически сразу после чистой установки Windows - зараза появилась только сегодня.

вот отчет по файлу с цифровым именем, к которому идет запрос
http://www.virustotal.com/file-scan/report.html?id=3c51af703a2c99cedc3afd7c015f77ce15272abc4ca24cc5178c7eea2e0cd7ae-1299653271
библиотека aaaamon.dll
http://www.virustotal.com/file-scan/report.html?id=7a5aac31d712ac62f9254c7ec31d5b1b7c67f30e36994c331ba0558ae0208e6e-1299653320

ramzes83
- Выполните скрипт:

Код: begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\05.exe','');
QuarantineFile('C:\WINDOWS\system32\30.exe','');
QuarantineFile('C:\WINDOWS\system32\81.exe','');
DeleteFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\05.exe');
DeleteFile('C:\WINDOWS\system32\30.exe');
DeleteFile('C:\WINDOWS\system32\81.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

gjf
лог http://zalil.ru/30639030
после выполнения скрипта (удаления драйвера) появилось неизвестное устройство. Код экземпляра устройства: "ROOT\LEGACY_UZEXODK5\0000" , код ID - пустое поле. автоматическая установка драйвер не установила. Письмо на почту отправил.
следом вопрос. если вылечим машину (в чем уврен)) как в сети вычислить. откуда идет эта шняга?.. всего около 50 компов...
Так-то немного грешу на NOD32.. есть лицензионный DrWeb, но машина старая, и он вешает систему намертво... изменил настройки нода - абсолютная защита.. (хотя это в другую верку.. )
на 3 других машинах проявлялось пару-тройку дней, потом пропало, хотя цифровыые файлы лежат на месте.. "sys" не искал. не обратил внимание..

ramzes83
Чисто. Чистим хвосты, выполните скрипт:

Код: begin
ExecuteStdScr(6);
SetAVZPMStatus(false);
RebootWindows(false);
end.

gjf
спасибо. пока чисто) весьма странно, так как ни чего нового не качал с сети.. софт брал проверенный ранее... как этот драйвер через фаервол нодовски пролез.. дырки видно остались.. на других машинах повнимательнее отнестись к файлам sys в неположенных местах?.. дабы не отвлекать вас))) ксатти, а этот файл QuarantineFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys' остался у меня?? он зашифрован как-то в карантине? - для изучения.. или может ссылку, где про него почитать можно...

ramzes83
У Вас фактически ничего не было - в основном грязь в реестре.