Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
1

Вирус заразил систему. Все логи внутри темы

12.06.2013, 04:02. Просмотров 1351. Ответов 18
Метки нет (Все метки)

Всем доброго времени суток. Такая проблема: мне вернули флешку. На ней оказался вирус. Он создает папку с 2 скриптами внутри и файл autorun. Дальше эти скрипты скрывают мне все папки на флешке и создают ярлыки. Дальше оказалось, что они закрывают доступ к настройкам папок(пункт параметры папок и поиска), к панели управления(при попытке загрузки ее вылетает процесс iexplorer.exe, а сама же панель управления не запускается. Также из провереного не запускается центр управления сетями), также закрывается доступ к regedit, msconfig и тд. Работает только командная строка. Полные проверки Cureit, avz, norton interner security не помогли решить данную проблему. Также решает проблему перестановка системы на новую( установили на чистый винт windows 7 - все работает. Вставили флешку - происходит проблема описанная выше.). Прошу помочь мне решить эту проблему и по возможности почистить флешку. Очистку перед созданием логов не получилось провести - в запущенных процессах висел wscript, который закрывал окошки с программами.
0
Вложения
Тип файла: rar rsit.rar (66.2 Кб, 10 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
12.06.2013, 04:02
Ответы с готовыми решениями:

Вирус заразил .exe файлы и систему,компьютер стал тормозить
Искал в интернете русификатор на игру,много чего качал,в итоге это были не русификаторы,а вирусы...

Вирус заразил все браузеры!
После скачивания одно файла с интернета как это и бывает подхватил заразу, при чем комп заразился...

Вирус устанавливает программы, добавляет ссылки на рабочий стол (логи внутри)
Здравствуйте! Хватанула вирус. При запуске системы открывался браузер с workno.ru, поиск...

Тормозит интернет и всё что с этим связано (логи внутри)
Добрый день. После "лазания" по сайтам,очень сильно стал тормозить интернет. Опишу детали которых...

__________________

Записывайтесь на профессиональные курсы специалистов по кибербезопасности
18
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 09:33 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код
O4 - HKCU\..\Run: [2648] C:\Users\Администратор\AppData\Roaming\305e\2648.js
O4 - .DEFAULT User Startup: 7979.js (User 'Default user')
O4 - Startup: 7979.js
O4 - Global Startup: 7979.js
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7979.js','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\305e\2648.js','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\7979.js','');
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\305e', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\2f56', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\31a79', '*.*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\7979.js');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\305e\2648.js');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7979.js');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\305e', '*.*', true);
 DeleteFileMask('C:\Program Files\2f56', '*.*', true);
 DeleteFileMask('C:\31a79', '*.*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\305e');
 DeleteDirectory('C:\Program Files\2f56');
 DeleteDirectory('C:\31a79');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2648');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Сделайте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
0
Вирусоборец
15857 / 13202 / 2333
Регистрация: 08.10.2012
Сообщений: 53,614
12.06.2013, 09:37 3
///
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 12:15  [ТС] 4
Логи в архиве
0
Вложения
Тип файла: rar rsit.rar (66.0 Кб, 2 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 14:08 5
1. Удалите в МВАМ
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl orer|NofolderOptions (Hijack.FolderOptions) -> Параметры: 1 -> Действие не было предпринято.
2. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked"
O4 - .DEFAULT User Startup: 730a.js (User 'Default user')
3. Включите показ скрытых системных файлов и удалите папку руками:
C:\31a79
Что с проблемой?
1
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 18:08  [ТС] 6
Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked"

Цитата Сообщение от shestale Посмотреть сообщение
O4 - .DEFAULT User Startup: 730a.js (User 'Default user')

Что с проблемой?
Скрипт не удалился. Папку удалил, + для того чтобы заработала панель управления удалил ключ
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl orer|NoControlpanel=1
В итоге все пока работает. Но хотелось бы еще и флешку почистить. Есть какие-либо варианты полного ее форматирования, дабы там не осталось вируса?
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 19:01 7
Цитата Сообщение от shnaps Посмотреть сообщение
Скрипт не удалился.
Какой скрипт не удалился?
Как подготовить лог HijackThis
Цитата Сообщение от shnaps Посмотреть сообщение
+ для того чтобы заработала панель управления удалил ключ
Просто нужно было удалить строку в МВАМ, как я вам написал.
Цитата Сообщение от shnaps Посмотреть сообщение
Есть какие-либо варианты полного ее форматирования, дабы там не осталось вируса?
Ну так полное форматирование и удалит все флешки.
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 19:30  [ТС] 8
Хм. 1 строчку удалил МВАМ. Это была строчка, которая закрывала доступ к скрытым файлам. Панель управления все еще не работала. Дальше через regedit я удалил вторую строчку. Появился доступ к панели и iexplorer.exe перестал вылетать.
А если же флешку втыкну, чтобы почистить, то опять произойдет заражение. Возможно стоит попробовать почистить ее на *Unix системах или через безопасный режим?
0
Вложения
Тип файла: log hijackthis.log (6.3 Кб, 4 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 19:39 9
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

a) Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
b) Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Цитата Сообщение от shnaps Посмотреть сообщение
А если же флешку втыкну, чтобы почистить, то опять произойдет заражение.
Автозапуск у вас только с сидирома включен, поэтому заражения произойти не должно, главное ни чего с нее не запускайте, а сразу отформатируйте.
1
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 20:01  [ТС] 10
Окей, тогда все сделаю
0
Вложения
Тип файла: rar ComboFix.rar (5.5 Кб, 3 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 20:10 11
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код
KillAll::
File::
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\730a.js
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 20:26  [ТС] 12
Сделано
0
Вложения
Тип файла: rar ComboFix.rar (5.4 Кб, 3 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 20:31 13
Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 20:45  [ТС] 14
Новый отчет
0
Вложения
Тип файла: rar ComboFix.rar (5.5 Кб, 2 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 20:53 15
Хм-м..., пройдите по этому пути и удалите его руками
c:\users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\730a.js
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 20:58  [ТС] 16
Удалил. На этом процесс очистки окончен?
0
Вложения
Тип файла: log hijackthis.log (5.6 Кб, 3 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
12.06.2013, 21:02 17
Да, оставался только этот js. Если проблем больше нет, тогда:

Деинсталлируйте ComboFix:
a) Нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
(Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )



b) Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 18.12.2011
Сообщений: 22
12.06.2013, 21:21  [ТС] 18
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 12.06.2013 20:18:44
Program directory: C:\TEMP\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.4
Диск C:\ ФС: NTFS Емкость: (58.5 Гб) Занято: (15.1 Гб) Свободно: (43.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 11.06.2013 18:53:58
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.1.102.55 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.27.0.1453.110 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.27.0.1453.110
-------------EndLog-------------------------------
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
13.06.2013, 06:22 19
Обязательно обновитесь и Удачи!
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
13.06.2013, 06:22

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

NetBeans. Все объяснения внутри темы
Добрый вечер! Совсем недавно начал осваивать Java. Начал делать одну программку, смог сделать...

Странный вирус заразил файлы
На днях скачал программу Total Commander.Скинул её туда где у меня лежали все...

Рекламный вирус заразил службу svhost
Приветствую! Пробовал бороться с ним сам но ничего не получилось((( Заражает каждую новую вкладку(...

Вирус заразил 2 компьютера. Не открываются файлы MS Office и JPG
Добрый день. Нужна помощь. Заразились 2 компа через эл.почту в организации. Вирус зашифровал...

Fust.zip заразил все диски ПК и флешки
Заразил жесткие диски ПК вирусом FUST.zip, который создает ярлыки папок, оригинальные скрывает. Все...

тормозит комп, логи внутри
Прошу помочь, отправляю логи.


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.