» Помощь при лечении компьютера от вирусов

Maks1000
Раз подозрение на руткит, то скорее всего вас попросят сделать лог и TDSSKiller. Для ускорения лечения можете выложить и его.

KismetT

Лог TDSSKiller-http://www.mediafire.com/view/?cp59xokuh7vo86v

http://rghost.ru/private/43189281/cd1b01e7da9f7ff6eb368bd3c7244324
http://rghost.ru/43189319
новые логи авз и rsit. Запрос отправил.

Добавлено:
[more] Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.


Это ответ на запрос, повторение запроса с паролем дает тот же результат. [/more]

naive777
Пофиксите в hijack

Код: F3 - REG:win.ini: load=C:\Documents and Settings\Admin\kbqe.exe

[more] Здравствуйте.
Ноутбук DELL LATITUDE D505
ОС: Windows XP SP 3 версия 5.1
сборка 2600.xpsp_sp3_gfe.101209-1646
Powered byXTreme.ws Summer Edition v15.08.11 Intel(R) Pentium(R)M
proctssor 1.60GHz 591 Мгц, 512 МБ ОЗУ

Ноутбук после загрузки выпадал в черный экран, на команды с клавиатуры не реагировал, отключался закрытием крышки.
Был загружен в безопасном режиме с поддержкой командной строки, после выполнения команды C:\Windows\system32\restore\rstrui.exe.

Утилита Dr. Web CureIt! вирусов не обнаружила.

Антивирус МсAfee - при открытие выдавал сообщение о том, что "отсутствует соединение с интернетом, или McAfee Security Scan временно недоступен" - перед проведением диагностики был деинсталлирован через "Панель управления - Установка и удаление программ".

В "Установке и удалении программ" были удалены Babylontooldar Mail.ru (агент и спутник) и еще пара десятков мусорных программ (ноутбуком пользуется 13-летняя барышня)

Internet Explorer - с отключенными настройками сообщает, что не может отобразить страницу.

Mozilla Firefox открывает ссылки и буквально через пару секунд страница не перенаправляется, а словно полностью перекрывается страницей с надписью montiera.com или testtadedoubler в адресной строке: montiera.com или ww6.testtadeloubler.com, на команды с клавиатуры, (кроме Ctrl+N) не реагирует, новые окна открываются и через секунду тоже замещаются картинкой с надписью.

Прикрепленные файлы:
- файл ..\avz4\log\virusinfo_syscure.zip - http://rghost.ru/43296214
- логи, полученные при выполнении программы RSIT log.txt - http://rghost.ru/43296265
- и info.txt - http://rghost.ru/43296291 [/more]

Lusec
Сделайте лог HiJack

Добрый день! В опере, при открытии сайтов, с левой стороны, появляется реклама; антивирус ничего не находит, др.веб и касперский аналогично. Переустанавливал браузер - 0-й эффект.
Сделал логи по инструкции в шапке. Спасибо за помощь!

RSIT info.txt Ссылка
RSIT log.txt Ссылка
GMER log.txt Ссылка
virusinfo_syscure.zip Ссылка

Пофиксил, ошибку это не исправило.

Piopi2
Пофиксите в hiJack

Код: O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2DC5B7-164B-4E85-890B-DD5DB03DEB4F}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2DC5B7-164B-4E85-890B-DD5DB03DEB4F}: NameServer = 80.82.209.180

Привет всем! Большущее спасибо за помощь и советы. Ноутбук, хоть и старенький-престаренький, но забегал, как новенький . Ребенок счастлив! Как же здорово, что я наткнулась на ваш замечательный форум.

thyrannosaurus, спасибо огромное! Помогло! Уже хотел винду переустанавливать...как интересно эта зараза проходит через NOD32..

всем привет, проблемма в том что при включении любого приложения открывается виндовс медиа плеер, как с этим боротся???? надеюсь что куда надо написал...

Joode
Скорее Вам в раздел по Windows, чем в лечение от вирусов

Симптом: Медленная скорость загрузки страниц
Проблем на стороне провайдера нет.
CureIt нашел 2 трояна в \Dmitriy\Local Settings\Temp
KIS 2010 после него при полной проверке ничего не обнаружил.
После перезагрузки KIS выдает сообщение о повреждении черного списка и отказывается обновлятся.
Пробема не решена.

Логи:
http://rghost.ru/43600383 - info.txt
http://rghost.ru/43600422 - log.txt
http://rghost.ru/43600447 - virusinfo_syscure.zip

Dmitriy05
Плохого логи не показали

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

thyrannosaurus
Спасибо!

Ребята,подскажите пожалуйста,каким дешифратором можно расшифровать файл doc ,зашифрованный вирусом.

Цитата:

Alena4ka

Их много разных типов есть. Смотри здесь, может свой найдёшь.

Цитата:

KismetT

Благодарю за помощь.Пока безрезультатно.Пробовала дешифраторы te19decrypt и XoristDecryptor,не находят ничего.

Alena4ka
Попробуй отсюда взять декрипторы, начать наверное лучше с тех, кто посвежее. Так же можно обратиться на Virusinfo.

Alena4ka
Вы бы для начала предоставили больше информации о шифровальщике. Хотя бы сообщение от вымогателей, которое видите на экране

[more] Доброго дня!

Беспокоит процесс IEXPLORE.EXE (именно так отображается).
Запускается с системой и дублируется, то есть одновременно два IEXPLORE.EXE отображается в диспетчере задач.
Отключение процесса в диспетчере задач увеличивает производительность компьютера
Также процесс запускается при старте других программ, будь то игра или приложение. Таким образом чтобы поддерживать производительность, надо следить и постоянно отрубать IEXPLORE.EXE. Месяц назад пробовал чистить утилитой drweb: curteit, итог снесенные *.DLL библиотеки и некоторые *.exe. Пришлось перестанавливать игры и приложения. Также замечено что он модифицирует некоторые DLL так сказать в режиме реального времени, то есть сейчас я прячу пару файлов DLL в архивах и меняю их когда надо запустить приложение)

очень надеюсь на помощь!

virusinfo_syscure.zip -- http://exfile.ru/403173
log.txt -- http://exfile.ru/403175
info.txt -- http://exfile.ru/403176
скриншот диспетчера задач -- http://exfile.ru/403177

[/more]

Цитата:

KismetT

Благодарю за совет!Брала именно оттуда утилиту te19decrypt,а на свежие версии и не обратила внимание,всё в спешке.


Цитата:

thyrannosaurus

Простите,просто в панике забыла дать более детальную информаци и вставить скриншот.
Документы уже пришлось удалить.

Комп виснит!! В игры некоторые войти не могу, зависает на загрузке и приходиться перезагружать, музыка даже притормаживается!! Процессор судя по гаджету слишком часто забит на 100%, а оперативника примерно на 48% думал вирус !! Проверял Каперским нету не чего !! Как разгрузить процессор?? У меня 3 ядра Атлонт , Вин7про оперативка 4 гиг ! Почему комп виснит ??

Винда Севен. Кидает на флешки 4 ярлыка, авторан и папку рециклер. Винду переустанавливал, флешки форматировал.
AVZ, Dr. Web ничего не нашли.

http://upwap.ru/3024681
В autorun.inf - RmN
В папке рециклер -
http://upwap.ru/3024689
свойства ярлыков -
http://upwap.ru/3024694

Значение ключа HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/ Winlogon/userinit
"C:\Windows\system32\userinit.exe,C:\Program Files\ivkpaqhr\qycfkqqi.exe" восстанавливается при исправлении.

Чем найти то что создает это на глазах?
Спасибо.

Хоть кто-нибудь шапку читает?
Stigals, телепаты в отпуске.

Народ подскажите каким софтом посмотреть какой процесс лезет в сеть и куда что отправляет? С недавнего времени началась подозрительная сетевая активность при простое компьютера.

Спасибо.

Цитата:

какой процесс лезет в сеть и куда

Из самых простых - CurrPorts.

Цитата:

что отправляет

SmartSniff.

KismetT

Цитата:

Из самых простых - CurrPorts.

http://i.imgur.com/EP4VntS.png



Что это за дрянь по 80 порту ко мне стучится постоянно?

Добавлено:
этот недоумок из Фулшира:
http://i.imgur.com/1FSwqV9.png

как его отцепить?

Это кажется KMS - сервер, которым активируют пиратские ОС-и.


Добавлено:
А, это ты про неизвестное соединение. Это уже закрывшееся соединение. Можешь в Currports включить журналирование и смотреть, что куда лезет.

Добавлено:
Набери в браузере http://69.73.166.124/ и всё станет понятно.