Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 27.08.2009, 18:36   [включить плавающее окно]   #1
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
Нужна помощь в удалении зловреда

Ситуация такая.
Недавно обнаружил при сканировании системы, в списках сканируемых файлов на этапе сканирования памяти и активных служб и программ промелькивают такие файлы как c:\Windows\9129837.exe и процесс hide_srv2.sys. Стал искать информацию в инете. Само собой разумеется эти файлы есть зловред. Думаю ладно. Начинаю искать их - найти не могу. Ладно в инете нахожу информацию о том как их удалить. Везде написаны стандартные методы удаления, как то зайти в реестр и удалить такие то и такие строки. Но парадокс в том что я этих строк в реестре не могу найти. Ладно думаю. Нахожу в инете скрипт для АВЗ по удалению сей заразы. Юзаю скрипт - АВЗ грит что ничего подобного не находит у меня на компе. Далее снимаю винт - цепляю к машине с каспером - тот тоже молчит.
Вот у меня и возникает вопрос - что это вообще такое, точнее что это такое я знаю, вопрос что делать в этой ситуации?
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 01:49   [включить плавающее окно]   #2
Forcce
Мужской Новенький
 
Регистрация: 28.08.2009
отвечу словами самого В. Гюго --- "Можно сопротивляться вторжению армий, вторжению идей сопротивляться невозможно."
да и переустанови систему сам не сталкивался но слышал что может помочь !!
Forcce вне форума  
Ответить с цитированием
Непрочитано 28.08.2009, 06:12   [включить плавающее окно]   #3
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
Forcce Этот вариант рассматривается как самый последний
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 07:49   [включить плавающее окно]   #4
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Цитата (Werter123) »
Нахожу в инете скрипт для АВЗ по удалению сей заразы.
в курсе, что скрипты АВЗ относительно индивидуальны и не обязаны помогать на другой машине ?
Цитата
Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
вот его-то и приложи сюда.
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 16:52   [включить плавающее окно]   #5
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
Прикладываю
Вложения
Тип файла: zip virusinfo_syscure.zip (33.7 Кб, 114 просмотров)
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 17:14   [включить плавающее окно]   #6
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Werter123 ээээ, он у тебя вообще загружается быстрее чем за 40 минут
я в шоке с такого лога
ждиииите ....
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 17:31   [включить плавающее окно]   #7
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
ты про комп? Конечно . Нормальная загрузка - примерно от 3 до 4 минут - точно не засекал

Werter123 добавил :

к удивлению
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 17:50   [включить плавающее окно]   #8
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
для начала - очевидное: (файл host правил ? если нет, то добавь ExecuteRepair(13)
-------------
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('WINIO');
SetServiceStart('WINIO', 4);
DeleteService('WINIO');
SetServiceStart('gdrv', 4);
StopService('gdrv');
DeleteService('gdrv');
StopService('IQXJW');
SetServiceStart('IQXJW', 4);
DeleteService('IQXJW');
BC_DeleteFile('C:\WINDOWS\gdrv.sys');
BC_DeleteFile('c:\temp\IQXJW.exe');
BC_DeleteFile('H:\Distr\psc2071\winio.sys');
ExecuteRepair(16);
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-------------
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 18:13   [включить плавающее окно]   #9
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
насчет Hosts - поправил уже
так скрипт выполнил - что далее?
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 18:30   [включить плавающее окно]   #10
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
надо разобраться с автозагрузкой, там у тебя каша...
но это уже когда домой приеду, вечером

Bazel добавил :

зы все непонятные ддл-ки и екзе - отправляй на virustotal.com
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 18:34   [включить плавающее окно]   #11
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
с автозагрузкой я разбираюсь уже. Скажем так да там много чего согласен. Но скажем так - что из того что там есть соответсвует тому что я ищу? (из первого моего поста)
Все непонятные ДЛЛ ки давно уже проверялись на вирустотале и ничего особенного в них не было найдено
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 28.08.2009, 22:24   [включить плавающее окно]   #12
Bazel
Мужской Заслуженный
 
Аватар для Bazel
 
Регистрация: 19.04.2004
Адрес: AMD 3DNclan, Москва
Цитата (Werter123) »
Все непонятные ДЛЛ ки давно уже проверялись на вирустотале и ничего особенного в них не было найдено
странно, не должно быть такого засилья левых длл в автозагрузе...
еще раз скрипт выполни и приложи...
Bazel вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.08.2009, 12:44   [включить плавающее окно]   #13
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
хотелось бы знать какие из ДЛЛ левые ?
По твоему мнению
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.08.2009, 13:48   [включить плавающее окно]   #14
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
еще один лог

Кстати выполнил тот скрипт что ты писал. После него проверил. Ве осталось на своих местах. То есть точно также антивирь показывает что в памяти имеют место два процесса, (описаны в первом посте моем) но я также не могу их найти и соответственно так же не могу в реестре найти на них строки (искал по описанию как на сайте Каспера так и на других сайтах)
Мистика блин какая то
Вложения
Тип файла: zip virusinfo_syscure.zip (37.3 Кб, 90 просмотров)
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.09.2009, 15:40   [включить плавающее окно]   #15
akok
Мужской Начинающий
 
Аватар для akok
 
Регистрация: 01.09.2009
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('IQXJW', 4);
 SetServiceStart('WINIO', 4);
 QuarantineFile('C:\WINDOWS\system32\dwmapi.dll','');
 QuarantineFile('H:\Distr\psc2071\winio.sys','');
 QuarantineFile('c:\temp\IQXJW.exe','');
 DeleteFile('c:\temp\IQXJW.exe');
 DeleteFile('H:\Distr\psc2071\winio.sys');
 DeleteService('IQXJW');
 DeleteService('WINIO');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Повторите логи AVZ и необходим еще лог:
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
__________________
SafeZone.cc - Форум бесплатной помощи и обучения пользователей
akok вне форума  
Ответить с цитированием
Непрочитано 01.09.2009, 22:52   [включить плавающее окно]   #16
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
akok
Скрипт такой уже делал раза два
толку никакого - как появлялись эти два файла во время проверки так и появляются (то есть идет строка с примерно такой надписью - Идет проверка памяти и точек загрузки системы... и внизу промелькивают файлы
В принципе если разобраться мне просто это действует больше на нервы чем на мой комп...
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.09.2009, 10:05   [включить плавающее окно]   #17
akok
Мужской Начинающий
 
Аватар для akok
 
Регистрация: 01.09.2009
Werter123, теперь я Вас нашел. Я на многих ресурсах помогаю.

Acrobat 8.0 - обновите до Acrobat 9.х

Ладно заничт будем действовать альтернативными путями.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. downloading the update MBAM
!!! Смотрите, что удаляете... программа очень нелюбит варез.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Если не сложно прикрепите полученные логи к теме.
__________________
SafeZone.cc - Форум бесплатной помощи и обучения пользователей
akok вне форума  
Ответить с цитированием
Непрочитано 03.09.2009, 11:27   [включить плавающее окно]   #18
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
Сейчас попытаюсь прикрепить
пока первый лог
Вложения
Тип файла: txt log.txt (42.0 Кб, 406 просмотров)
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.09.2009, 20:25   [включить плавающее окно]   #19
Werter123
Мужской Опытный
Автор темы
 
Регистрация: 06.01.2006
Адрес: Усть-Каменогорск
кстати вот появился такой вопрос
насколько я понял есть один из вариантов защиты от вирусов (например от тех же авторанов (autorun.inf) это создать такой файл в корне с аттрибутами только для чтения (в свое время в ветке по антивирусы ктото даже выкладывал батник по созданию такого файлика). Не может ли быть так что это сам антивирусник создает в памяти такие процессы для "обмана" зловреда? (предполагаю потому что два критерия которые подтверждают нахождение вируса в системе не доказываются (нет наличия этих файлов в системе и нет наличия строк в реестре)
сразу говорю - это только размышления
__________________
Si vis pacem para bellum
Werter123 вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.09.2009, 22:41   [включить плавающее окно]   #20
akok
Мужской Начинающий
 
Аватар для akok
 
Регистрация: 01.09.2009
Werter123, нет таких методик в АВ ПО я не встречал. А вот вредоносы научились маскировать свое присутствие в системе.
__________________
SafeZone.cc - Форум бесплатной помощи и обучения пользователей
akok вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 18:27. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey