Перейти к содержанию

Неубиваемый вирус


Рекомендуемые сообщения

Привет! У меня трабл - при запуске ЛЮБОГО экзешника на компе запускается окно по типу cmd (см. аттач) + в корне создаются файлы: current_exe.DMP, run_pluginEB51E502, run_plugin815EA491, run_plugin7FD1E6F7. не могу понять кто и куда путается лезть. проверка на вирусы выполнялась кучей антивирусников: от каспера и нода до веба и различных утилиток. если это последствия вируса, который уже удален, то как исправить эти последствия? помогите, плиз.

post-9121-1239182319_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты
Три лога в аттаче.

 

Выкладываю те файлы, которые у меня создаются в корне.

virusinfo_syscure.zip

virusinfo_syscheck.zip

HJT___hijackthis.rar

Ссылка на сообщение
Поделиться на другие сайты

Отключите восстановление системы!

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('{28ABC5C0-4GCR-11QF-AAD5-81CP7T635612}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe','');
DeleteService('gdrv');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить в HJT:

R3 - URLSearchHook: (no name) -  - (no file)

Обновите базы AVZ и сделайте новые логи.

 

 

Выкладываю те файлы, которые у меня создаются в корне.

Лучше не стоит, удалите из вложений, это запрещено правилами, вы их на newvirus@kaspersky.com отправьте для проверки :help:

 

Кстати, вот результат проверки ваших появляющихся файлов на ВирусТотал:

http://www.virustotal.com/analisis/1e07c08...6bdad648e0ab84a

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты
Кстати, вот результат проверки ваших появляющихся файлов на ВирусТотал:

http://www.virustotal.com/analisis/1e07c08...6bdad648e0ab84a

 

то есть вирусы в них все же есть? я не очень понимаюв том, что написано на вирустотал....

 

Отключите восстановление системы!

Восстановление отключено.

 

Выполните в AVZ:

Код

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

DelCLSID('{28ABC5C0-4GCR-11QF-AAD5-81CP7T635612}');

QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe','');

DeleteService('gdrv');

QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');

DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');

DeleteFile('C:\WINDOWS\gdrv.sys');

DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe');

BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\services.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

 

Скрипт выполнен

 

 

Затем пофиксить в HJT:

Код

R3 - URLSearchHook: (no name) - - (no file)

 

Код пофиксен...

 

Обновите базы AVZ и сделайте новые логи.

 

Базы обновлены...

Новые логи прилагаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Ссылка на сообщение
Поделиться на другие сайты

Вполне возможно, что есть, этот архив с файлами отправьте на newvirus@kaspersky.com, предварительно установив на него пароль virus (подробнее об этом). Пароль укажите в письме. Когда придет ответ, скопируйте его в сообщение, только без фамилии аналитика, пожалуйста. :help:

 

Скачайте IceSword.

 

- Запустить программу.

- Внизу слева выбрать меню File.

Появится аналог проводника. Поищите нем файл:

C:\WINDOWS\System32\Drivers\sfc.SYS

- Кликнуть на нем правой кнопкой мыши и выбрать force delete.

- На запрос потверждения ответить "да".

 

Затем в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения инструкций сделайте новые логи.

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты
Скачайте IceSword.

 

- Запустить программу.

- Внизу слева выбрать меню File.

Появится аналог проводника. Поищите нем файл:

 

C:\WINDOWS\System32\Drivers\sfc.SYS

 

Скачал, запустил - у меня нет в системе файла C:\WINDOWS\System32\Drivers\sfc.SYS. По крайней мере в IceSword не видно его по указанному пути.

Ссылка на сообщение
Поделиться на другие сайты

Зараза не хочет по-хорошему.

 

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportDeletedList;
BC_Activate;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_DeleteSvc('sfc');
ExecuteSysClean;
RebootWindows(true);
end.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Прикрепите к следующему сообщению логи AVZ и boot_clr.log из папки с AVZ.

Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты

Скачал, проверил. нашел 9 зараженных файлов, удалил. Выполнил скрипт. лаги исчезли. но я еще сейчас покопаюсь, вдруг вылезет что-нибудь.

Ссылка на сообщение
Поделиться на другие сайты

Сделайте логи, мы посмотрим. И вот это:

Прикрепите к следующему сообщению логи AVZ и boot_clr.log из папки с AVZ.
Изменено пользователем Falcon
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...