» Помощь при лечении компьютера от вирусов

elvin04
http://safezone.cc/forum/showthread.php?t=1012

gjf
Не помогло, можно ли на основе старых логов новый скрипт составить. Проблема в том что популярные сайты FaceBook, Youtube не открываются.

elvin04

Цитата:

После перезагрузки логи повторить.

gjf
http://rghost.ru/27001121
Заранее благодарю.

http://rghost.ru/27005961

Здравствуйте. Мой антивирус Avira Professional Security 2012 при проверке пишет, что обнаружен скрытый процесс. Но сам сделать ничего не может.
Проверьте пожалуйста. Челом бью

http://rghost.ru/27009581
Имеем какуюто дрянь, которая заражет по одному любой из файлов автозапуска и даже "курейт", этим "trojan.mayachok.1" при каждой перезагрузке компа. Проявляется в перенаправлении на "фуфло.....страницу" всех других ранее открытых через небольшой промежуток времени нахождения в интернете. И ещё "отсутствовал" host - восстановил.
С Уважением.

elvin04

Цитата:

популярные сайты FaceBook, Youtube не открываются

Проблема осталась? Это происходит с любым браузером или только IE?
7355225
- Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('dgderdrv');
DeleteFile('C:\Windows\system32\drivers\dgderdrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

gjf
С любым браузером, если почистить историю то можно зайти дин раз, а дальше как повезет. Самое главное страница грузится появляется значок, а потом он заменяется тем что якобы соединения нету, обновите страницу. Какой скрипт для меня?)) с модемом всё в порядке, если подключится к другой точке доступа, то можно лазить в интернете часа 3-4 а потом все снова, раньше хоть youtube открывался, а теперь категорически не открывает

elvin04
Скачайте, распакуйте и запустите TDSSKiller.
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска).

gjf
Компьютер не тут, завтра лог будет, а скрипты есть новые?

elvin04

Цитата:

а скрипты есть новые

Пока незачем.

gjf
http://rghost.ru/27057281

Сделал как вы сказали

7355225
Проблема осталась?

Да. Авира продолжает указывать на скрытый процесс
До обращения к вам, скачивал Rescue CD Касперского, самой Авиры, прогонял - они указывали, что все чин чинарем
И еще один такой момент. Авира сигнализирует о скрытом процессt, когда сканирует smss.exe

7355225
Сделайте лог с помощью GMER.
gmer.log

gjf
http://rghost.ru/27081981

Вы не спрашивали, но я на всякий пожарный напишу. У меня стоит Windows 7 не активированная. Дней 15 еще осталось. Так вот сообщение Авиры начало появляться, после обновлений через Центр обновлений (извиняюсь за каламбур)

gjf
Выполнено
http://rghost.ru/27085541

ещё были обнаружены "подменёные" taskmgr и userinit в dllcache

p.s. "самостоятельно" стоит "вести борьбу" или лучше не мешать ?
p.p.s. вами указан файл в папке темп - хм..., а папка темп "чистилась" в первую очередь. Да и добавлю (для инфы) - знакомый (чей комп) перед данной "бедой" повёлся и скачал-установил якобы "супер-новую" версию Оперы с фиг знает какой "помойки" интернета (я её удалил первым делом).

1Kipovec
В логах всё чисто.
Если
Цитата:

были обнаружены "подменёные" taskmgr и userinit в dllcache

то замените на оригинальные.
Я бы ещё на всякий случай сделал так. В меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter.

Код: sfc /scannow

gjf
http://rghost.ru/27130081

Проблема в этом файле уже встречаю на 3 ПК
XP SP3
Его система подгружает автоматом Первый файл в списке
http://rghost.ru/27153801/image.png

http://www.mediafire.com/?s38vb92fcl2zcwr - info.txt
http://www.mediafire.com/?v432xanrbuiz0e0 - log.txt
http://www.mediafire.com/?dxxdid8elpfitil - virusinfo_syscure.zip



--
Что делает?
Стопорит весь трафик
Создает два лога
Ребутит систему


Код: ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
ExecuteStdScr(3);
if FileExists(GetAVZDirectory+'LOG\virusinfo_cure.zip') then
RenameFile(GetAVZDirectory+'LOG\virusinfo_cure.zip',GetAVZDirectory+'LOG\quarantine.zip');
RebootWindows(true)

gjf
Спасибо, вроде проблем пока нет.
Файлы (подмененные) были восстановлены сразу же при обнаружении.
Вопрос, если не затруднит (для собственной образованности) - какой файлик, "отвечал" за данную гадость.

1Kipovec
Там их было как минимум два. Mayachok.1 обычно один не ходит

gjf
А обо мне?

elvin04
У Вас пока неясно. Сделайте лог с помощью MBAM.


Добавлено:
AdapterLp
Ну как я вижу, Вы его уже удалили?

gjf
S2 SRVStarter_Service;Service Starter: Service; C:\Windows\system32\Startsrv.exe [2007-03-23 56552]
S2 SRVStarter_SRVStarter_Service;Service Starter: SRVStarter_Service; C:\Windows\system32\Startsrv.exe [2007-03-23 56552]
А это что? Прям не видно? Автор какого-либо софта может разве быть Usama??

gjf
Да получилось но какой .exe .dll или служба его восстанавливала не известно!!
Это из логов можно понять? (как временно удаляла так и сама восстанавливала)

elvin04
По именам авторов трудно оценить вредоносность. Но если Вы уверены, что данная служба - не часть какого-то софта, то можем её и удалить. Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('SRVStarter_Service');
DeleteFile('C:\Windows\system32\Startsrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

7355225
Ничего вредоносного в логах не обнаружено.

gjf
http://www.antivirus365.org/PCAntivirus/15885.html

elvin04
И что Вы этим мне хотели сказать?