Заражение через скачанный файл.

[xAleka]

Скачал файл под видом обновления Adobe Flash , после чего Антивирус Касперского закричал о трояне пошли быстрые проверки ,перезагрузка,вход автоматом в безопасный режим,потом опять перезагрузка,выход в обычный режим, там посидел в интернете зашёл в контакт там ошибка error myrar.exe касперский включил режим усиленной защиты,потом меня ещё пару раз кинуло то в безопасный то в обычный режим работы,после чего скачав AVZ с сайта начал проверку и этот процесс видимо убил каспера,пока что вылетов и перезагрузок нет , но что делать дальше незнаю вот файлы которые нужны .Помогите пожалуйсто кто чем может.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 19 июня, 2011 пользователем xAleka

[G.HosT]

Говорили вам всем и всегда качайте обновления с сайтов разработчиков программ...

А лучше скачайте программу для проверки обновлений и удобно,безопасно и быстро. http://www.filehippo.com/updatechecker/

P.S. Спасибо Roman_Five =)

Изменено 20 июня, 2011 пользователем G.HosT

[Tiare]

xAleka, здраствуйте

 

1. Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

2. Создайте новую контрольную точку восстановления системы и проведите очистку предыдущих:

• Создание новой точки восстановления:

Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

• Очистка всех предыдущих точек восстановления:

Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

 

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\l1rezerv.exe');
TerminateProcessByName('c:\windows\update.tray-1-0\svchost.exe');
TerminateProcessByName('c:\windows\update.3\svchost.exe');
TerminateProcessByName('c:\windows\update.1\svchost.exe');
TerminateProcessByName('c:\windows\systemup.exe');
TerminateProcessByName('c:\windows\sysdriver32.exe');
SetServiceStart('srvsysdriver32', 4);
StopService('srvsysdriver32');
QuarantineFile('c:\windows\l1rezerv.exe','');
QuarantineFile('c:\windows\update.tray-1-0\svchost.exe','');
QuarantineFile('c:\windows\update.3\svchost.exe','');
QuarantineFile('C:\Windows\update.2\svchost.exe','');
QuarantineFile('C:\Windows\update.1\svchost.exe','');
QuarantineFile('c:\windows\sysdriver32.exe','');
QuarantineFile('C:\Windows\sysdriver32_.exe','');
QuarantineFile('C:\Windows\systemup.exe','');
QuarantineFile('C:\Windows\services32.exe','');
QuarantineFile('C:\Windows\Temp\6650611.exe','');
QuarantineFile('C:\Windows\TEMP\4441576.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\Temp\2559651.exe','');
QuarantineFile('C:\Users\CD86~1\AppData\Local\Temp\2559651.exe','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('c:\windows\system32\hale.exe','');
DeleteFile('c:\windows\l1rezerv.exe');
DeleteFile('c:\windows\update.tray-1-0\svchost.exe');
DeleteFile('c:\windows\update.3\svchost.exe');
DeleteFile('C:\Windows\update.1\svchost.exe');
DeleteFile('C:\Windows\update.2\svchost.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('C:\Windows\sysdriver32_.exe');
DeleteFile('C:\Windows\systemup.exe');
DeleteFile('C:\Windows\services32.exe');
DeleteFile('C:\Windows\TEMP\4441576.exe');
DeleteFile('C:\Windows\Temp\6650611.exe');
DeleteFile('C:\Users\Алексей\AppData\Local\Temp\2559651.exe');
DeleteFile('C:\Users\CD86~1\AppData\Local\Temp\2559651.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2559651.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4441576.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6650611.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
DeleteService('srvsysdriver32');
DeleteFileMask('C:\Windows\update.1', '*.*', true);
DeleteFileMask('C:\Windows\update.2', '*.*', true);
DeleteFileMask('C:\Windows\update.3', '*.*', true);
DeleteFileMask('C:\Windows\update.tray-1-0', '*.*', true);
DeleteDirectory('C:\Windows\update.1');
DeleteDirectory('C:\Windows\update.2');
DeleteDirectory('C:\Windows\update.3');
DeleteDirectory('C:\Windows\update.tray-1-0');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe
O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-1-0\svchost.exe
O4 - HKLM\..\Run: [2559651.exe] "C:\Users\Алексей\AppData\Local\Temp\2559651.exe"
O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv
O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv
O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand
O4 - HKLM\..\Run: [4441576.exe] "C:\Windows\TEMP\4441576.exe"
O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe"
O4 - HKLM\..\Run: [6650611.exe] "C:\Windows\Temp\6650611.exe"
O4 - HKLM\..\Run: [w_distrib.exe] "C:\Windows\update.3\svchost.exe" stand

 

 

- обновите Adobe Reader до актуальной версии

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

c:\windows\system32\hale.exe -это вам знакомо?

C:\ProgramData\VKSaver\VKSaver.exe -используете?

 

Corbina Telecom - ваш провайдер?

 

Сделайте новые логи по правилам, отчеты приложите к следующему посту

 

Меняйте все пароли! Один из ваших зловредов - Trojan-PSW.Win32.VKont.bjc

Изменено 20 июня, 2011 пользователем Tiare

[xAleka]

c:\windows\system32\hale.exe -это вам знакомо?

нет

C:\ProgramData\VKSaver\VKSaver.exe -используете?

Да и довольно давно ,скачивает интересующую музыку из контакта не прибегая к поиску в сети... , Антивирус не ругается и впринцыпе это не вредоносное ПО.

 

Corbina Telecom - ваш провайдер?

да

 

Спасибо за инструкции,я бы их обязательно выполнил вот только к тому моменту как я написал здесь свою тему и меня выкинуло в безопасный режим и я начал Dr.Web'ом проверять компьютер. После проверки и уничтожения вирусов просто не мог выйти в обычный режим,с каждой перезагрузкой автоматически запускался безопасный.

Возврат параметров на 3и недели назад с помощью точки восстановления ни к чему не привёл, и я был вынужден переустановить Windows...

в интернет из безопасного сами понимаете никак...

А так Веб при проверке показал что вирус распространился на множество файлов из самой папки Windows такчто я думаю врядли бы удалось вылечить всё...

[Tiare]

Раз уж переустановили систему, что теперь говорить об этом. Это ваш выбор.

 

Пароли (почта, icq, скайп и прочее) меняйте в любом случае!

Изменено 20 июня, 2011 пользователем Tiare

[xAleka]

Спасибо )