Не могу победить вирус,

@nanshakov · Регистрация: 29.01.2011

Author24 — интернет-сервис помощи студентам

Всем здрасьте.Не могу победить вирус.Вот логи,на сайты антивирусов не заходит.В деспетчере задачь появляются файлы типа 1.exe(разные имена)Я их завершаю.Помогите срочно.Эти файлы что то создает снова.Я их удалял ,но через некоторое время они возвращались.

@~~Katharsis~~ · 06.05.2011, 13:08

1. Скачайте и установите все последние обновления для безопасности windows

2.В логе сканирования Hijackthis отметьте:

O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

нажмите "Fix checked"

3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\86.exe','');
 QuarantineFile('C:\WINDOWS\system32\77.exe','');
 QuarantineFile('C:\WINDOWS\system32\61.exe','');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\30.exe','');
 QuarantineFile('C:\WINDOWS\system32\10.exe','');
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
 QuarantineFile('C:\Documents and Settings\Andy\Application Data\Ceoyoa.exe','');
 QuarantineFile('C:\Documents and Settings\Andy\Application Data\4.tmp','');,'');
 QuarantineFile('C:\Documents and Settings\Andy\Application Data\5.tmp','');,'');
 QuarantineFile('C:\Documents and Settings\Andy\Application Data\6.tmp','');,'');
 QuarantineFile('C:\Documents and Settings\Andy\Application Data\7.tmp','');,'');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\Documents and Settings\Andy\Application Data\4.tmp');
 DeleteFile('C:\Documents and Settings\Andy\Application Data\5.tmp');
 DeleteFile('C:\Documents and Settings\Andy\Application Data\6.tmp');
 DeleteFile('C:\Documents and Settings\Andy\Application Data\7.tmp');
 DeleteFile('C:\Documents and Settings\Andy\Application Data\Ceoyoa.exe');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
 DeleteFile('C:\WINDOWS\system32\10.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\61.exe');
 DeleteFile('C:\WINDOWS\system32\77.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ceoyoa');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Обновите базы avz, повторите логи avz и rsit. Лог Combofix также выкладывайте (если сохранился, специально запускать не нужно).

@nanshakov · 06.05.2011, 14:43 **[ТС]**

Я вирус сам победил,руками

.
Katharsis, У вас в 1ом скрипте ошибка(хотя он не понадобился),Я все сам почистил,руками,логи прилагаю.
Как чистил,и с чего все началось:Вчера в 9 часов вечера зависла игра.вырубил через деспетчер задачь.В глаза бросилиь процессы с именами E.tmp,T.tmp,и дрругие,не помню точно,но не относящиеся к системе.Я начал их завершать,но через 10 минут они снова появились и грузили цп на 50 процентов.Упала сеть(почти упала,у меня вай фай через адаптер,такое подключение сломать сложнее чем кабельное.).Обновил авз и начал делать лог.Сделал,написал скрипт,ребутнулся-все так же появляются процессы,грузят,и их завершаю.Ну,думаю,доделаю завтра.С утра включаю,процессов(вирусных)стало поменьше,но все еще были.Новые запуски авз ничего не дали(он их не видел.)
Решил восстановить систему из образа.Все,,восстановил ,загружаюсь....опять они б**я,я их не ждал.Скачал Combofix запустил,пока он делал лог(и скан)я думал,откуда могут взяться вирусы на только что восстановленном разделе....понятно,что с другово раздела,но в автозагрузке их не было...подумал,что ,можт в загрузочной записи они.Делаю логи,заливаю сюда.Решил в ручную поискать файлы вируса на винте.Начал с папок Windows,system32,итд,куда чаще всего лезут вирусы.В папке Windows были файлы размером 40-50 кб,с разными именами,(их там быть не должно...)начал я их удалять...все,удалил.Лезу в Documents and Settings,там в папке пользователя 2 файла с расширением .sys.Удалял и их...начинаю устанавливать Comodo и врубаю проактивку на максимум...перезагружаюсь....процессов вирей нет.Автозагрузка чиста.

@~~Katharsis~~ · 06.05.2011, 14:56

nanshakov, а зачем темы создаете здесь? Поверьте, кроме вас найдется на что потратить время.
Если не собираетесь выполнять рекомендации, все последующие ваши темы в этом разделе будут игнорироваться.

Сообщение от nanshakov

atharsis, У вас в 1ом скрипте ошибка

есть такое дело.
с 13 по 16 строки заменить на :

Код

QuarantineFile('C:\Documents and Settings\Andy\Application Data\4.tmp','');
QuarantineFile('C:\Documents and Settings\Andy\Application Data\5.tmp','');
QuarantineFile('C:\Documents and Settings\Andy\Application Data\6.tmp','');
QuarantineFile('C:\Documents and Settings\Andy\Application Data\7.tmp','');

Сообщение от nanshakov

Эти файлы что то создает снова.

и будет создавать пока не закроете все лазейки для червя. И то что вы его не видите ещё не означает, что у вас его уже нет.

@nanshakov · 06.05.2011, 15:03 **[ТС]**

Сообщение от Katharsis

Если не собираетесь выполнять рекомендации

Malwarebytes' Anti-Malware-чисто.
В чем смысл выполнять скрипт,если вы в карантин собирайтесь запихнуть файлы, которых уже нет? Я сделал новые логи,вижу,вы их не смотрели.

Сообщение от Katharsis

все последующие ваши темы в этом разделе будут игнорироваться.

Я уже создавал тут пару тем, с просьбой посмотреть логи.Они досих пор без ответа.

@~~Katharsis~~ · 06.05.2011, 15:08

Сообщение от nanshakov

В чем смысл выполнять скрипт

в чём смысл создавать тему?

Сообщение от nanshakov

Я уже создавал тут пару тем,с прозьбой посмотреть логи.Они досих пор без ответа.

Если вашу тему пропустили, а вы заинтересованы в ответе, значит ее нужно поднять.

Сообщение от nanshakov

Я зделал новые логи,вижу,вы их не смотрели.

Сообщение от Katharsis

Если не собираетесь выполнять рекомендации, все последующие ваши темы в этом разделе будут игнорироваться.

тему можно считать закрытой.

@~~Katharsis~~ Заблокирован
	06.05.2011, 14:56	4
	nanshakov, а зачем темы создаете здесь? Поверьте, кроме вас найдется на что потратить время. Если не собираетесь выполнять рекомендации, все последующие ваши темы в этом разделе будут игнорироваться. Сообщение от nanshakov atharsis, У вас в 1ом скрипте ошибка есть такое дело. с 13 по 16 строки заменить на : Код QuarantineFile('C:\Documents and Settings\Andy\Application Data\4.tmp',''); QuarantineFile('C:\Documents and Settings\Andy\Application Data\5.tmp',''); QuarantineFile('C:\Documents and Settings\Andy\Application Data\6.tmp',''); QuarantineFile('C:\Documents and Settings\Andy\Application Data\7.tmp',''); Сообщение от nanshakov Эти файлы что то создает снова. и будет создавать пока не закроете все лазейки для червя. И то что вы его не видите ещё не означает, что у вас его уже нет. 0

@nanshakov Студент :) 895 / 328 / 12 Регистрация: 29.01.2011 Сообщений: 1,679
	06.05.2011, 15:03 [ТС]	5
	Сообщение от Katharsis Если не собираетесь выполнять рекомендации Malwarebytes' Anti-Malware-чисто. В чем смысл выполнять скрипт,если вы в карантин собирайтесь запихнуть файлы, которых уже нет? Я сделал новые логи,вижу,вы их не смотрели. Сообщение от Katharsis все последующие ваши темы в этом разделе будут игнорироваться. Я уже создавал тут пару тем, с просьбой посмотреть логи.Они досих пор без ответа. 0

@~~Katharsis~~ Заблокирован
	06.05.2011, 15:08	6
	Сообщение от nanshakov В чем смысл выполнять скрипт в чём смысл создавать тему? Сообщение от nanshakov Я уже создавал тут пару тем,с прозьбой посмотреть логи.Они досих пор без ответа. Если вашу тему пропустили, а вы заинтересованы в ответе, значит ее нужно поднять. Сообщение от nanshakov Я зделал новые логи,вижу,вы их не смотрели. Сообщение от Katharsis Если не собираетесь выполнять рекомендации, все последующие ваши темы в этом разделе будут игнорироваться. тему можно считать закрытой. 0