Как избавиться от вируса? Победа над ним, ура :)
Автор
Сообщение
Vivian
Стаж: 15 лет
Сообщений: 613
FlYeR94
Ясно. Я подправил свой предыдущий пост.
Вот тут Нашел описание удаления MPK.exe
http://greatis.com/blog/not-a-virus/mpk-exe-keylogg...onal-monitor.htm
Хорошо бы залить на virustotal.com файлы:
PnkBstrA.exe
GuardGuard.exe
PMB.exe
BCU.exe
При залитии virustotal спрашивает, отсканировать заново или посмотреть прошлое сканирование - нужно сделать сканирование заново
Хотя, если у антивирусных вендоров пока нет сигнатуры к новому вирусу, это ничего не даст.
Что с файлом HOSTS? Должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
Больше ничего подсказать не могу. 
Последний раз редактировалось: Vivian (2011-10-19 15:46), всего редактировалось 1 раз
FlYeR94 ®
Стаж: 14 лет
Сообщений: 135
Что с файлом HOSTS? Должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 toybox.garrysmod.com
127.0.0.1 toyboxapi.garrysmod.com# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
77.79.161.70 torrents.local
10.2.88.20 tracker.local
77.79.161.70 torrents.local
10.2.88.20 tracker.local
После выполнения надо проверить, чтобы после каждой команды было написано об успешности выполнения команды.
Больше половины не получилось, пишет:
Системе не удалось найти указанный раздел или параметр реестра-Ага! В папке system32 нашел несколько файлов со словом PnkBstr названии, при этом один из них появился вчера, в день заражения.
PnkBstrB.xtr в этом файле VirusTotal.com нарыл это:
ymantec 20111.2.0.82 2011.10.19 Suspicious.Cloud.5
TheHacker 6.7.0.1.325 2011.10.18 Trojan/Kryptik.th
Судя по дате и по неимению этого вируса в базе данных большинства антивирусов, судя по всему, он появился недавно.
Сейчас нужно уходить, позже отпишусь.
UPD: Итак, через "установку и удаление программ" удалил программу PunkBuster, в папке system32 остались файлы с pnkbstr в названии, их я удалил вручную - но проблема осталась.
585
Стаж: 13 лет
Сообщений: 3
Откуда: Russia
Оперативная память - модифицированный Win32/Spy.Shiz.NBW троянская программа - очистка невозможна че делать люди?
Vivian
Стаж: 15 лет
Сообщений: 613
585
Есть примерно такой файл или любой исполняемый файл (.exe)? Windows\apppatch\faeqym.exe
Антивирус (NOD32, Eset или другой?) может удалить обнаруженный троян? Если может, нужно удалить. Трояны не вылечиваются, так как изначально являются вредоносными программами.
FlYeR94 ®
Стаж: 14 лет
Сообщений: 135
Победа!
Группа вирусов была начисто вынесена последовательной проверкой всего и вся.
1) В AVZ был запущен скрипт, предоставленный юзером dinf, приношу извинения за недоверие и благодарю за помощь.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
DeleteFile('C:\WINDOWS\system32\owaedgf.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
2) После перезагрузки вновь запускаю AVZ, делаю полную проверку жесткого диска, он удаляет файл PnkBstrB.xtr (на этот раз окончательно) из папки System32.
3) Лезу в реестр, удаляю весь раздел PunkBuster.
4) Делаю загрузочную флешку с KAV Rescue, проверяю жесткий диск - он (антивирус) что-то находит и удаляет.
5) Юзаю TDS Killer, он тоже удаляет несколько файлов из system32. После этого залез в браузер - а часть проблемы еще не решена (продолжает лезть internet.com, хотя реклама уже не появляется)
6) Снова запускаю AVZ с полной проверкой, он находит etclqrh.dll в папке system32 и удаляет её. Проблема решена.
Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него?
Последний раз редактировалось: FlYeR94 (2011-10-19 21:17), всего редактировалось 3 раз(а)
-=Drago=-
Стаж: 15 лет
Сообщений: 234
Vivian
Антивирус (NOD32, Eset или другой?)
(NOD32)
может удалить обнаруженный троян?
нет не получается удолить
пробовал другу удалить с помощью AVPTool но ничего не вышло а хотя сам подлавил какой то вирус с помощью AVPTool удалил.
Vivian
Стаж: 15 лет
Сообщений: 613
-=Drago=-
CureIt! и KVRT не видят троян из-за устаревших сигнатурных баз, скорее всего, так как Win32/Spy.Shiz.NBW добавлен в базы антивирусов (NOD32, Eset) только сегодня.
На форумах предлагают скрипт удаления для AVZ^
:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\apppatch\mbdiyfm.exe','');
DeleteFile('C:\WINDOWS\apppatch\mbdiyfm.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Вместо mbdiyfm может быть другое название. У меня в папке apppatch файлов .exe нет вообще, так что, скорее всего, файл там 1. Его имя надо поставить вместо mbdiyfm и выполнить в AVZ
Как выполнить скрипт в AVZ:
Запустите AVZ
нажмите Файл-Выполнить скрипт
В открывшееся окно
скопировать и вставить текст (будет дан в рекомедации по лечению в Вашей теме):
и нажмите Запустить
После чего Ваш компьютер перезагрузится.
Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него?
Сигнатурные базы NOD32 были обновлены? Полная проверка системного диска ничего не дала? На какой режим выставлена настройка защиты в реальном времени - эврестический анализ и пр.? С NOD32 давно не сталкивался, поэтому не знаю, какие у него настройки. Вероятно, попался вирус, который еще не был добавлен в антивирусную базу антивируса. А какой у NOD32 HIPS и антируткит - мне неизвестно. Факторов может быть много. Потому нет 100 процентной защиты от новых угроз и нужно обязательно соблюдать гигиену - следить за автозапуском и не запускать незнакомые файлы. Советую использовать для браузера песочницу (Sandboxie) или другую. Не работать в учетной записи администратора. Не устанавливать незнакомые приложения, скаченные неизвестно откуда. Есть еще много правил, которые надо соблюдать.
Последний раз редактировалось: Vivian (2011-10-19 21:34), всего редактировалось 1 раз
-=Drago=-
Стаж: 15 лет
Сообщений: 234
Vivian спасибо за помощь будем пробовать.
FlYeR94 ®
Стаж: 14 лет
Сообщений: 135
Сигнатурные базы NOD32 были обновлены? Полная проверка системного диска ничего не дала? На какой режим выставлена настройка защиты в реальном времени - эврестический анализ и пр.?
Да, да и да.
Судя по всему, сейчас он очень слабый в плане поиска вирусов - находит что-нибудь очень редко, а проверяю хард я каждые две недели.
Топик был перенесен из форума Вопросы по железу и ПО в форум Архив
Bert
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Дек 00:28
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
Vivian
Стаж: 15 лет |
|
|
FlYeR94
Ясно. Я подправил свой предыдущий пост. Вот тут Нашел описание удаления MPK.exe http://greatis.com/blog/not-a-virus/mpk-exe-keylogg...onal-monitor.htm Хорошо бы залить на virustotal.com файлы: PnkBstrA.exe GuardGuard.exe PMB.exe BCU.exe При залитии virustotal спрашивает, отсканировать заново или посмотреть прошлое сканирование - нужно сделать сканирование заново Хотя, если у антивирусных вендоров пока нет сигнатуры к новому вирусу, это ничего не даст. Что с файлом HOSTS? Должен выглядеть так: # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
# # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost
Последний раз редактировалось: Vivian (2011-10-19 15:46), всего редактировалось 1 раз |
|
|
FlYeR94 ®
Стаж: 14 лет |
|
|
Что с файлом HOSTS? Должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
# # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost # Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost 127.0.0.1 toybox.garrysmod.com 127.0.0.1 toyboxapi.garrysmod.com# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost 77.79.161.70 torrents.local 10.2.88.20 tracker.local 77.79.161.70 torrents.local 10.2.88.20 tracker.local После выполнения надо проверить, чтобы после каждой команды было написано об успешности выполнения команды.
Системе не удалось найти указанный раздел или параметр реестра-Ага! В папке system32 нашел несколько файлов со словом PnkBstr названии, при этом один из них появился вчера, в день заражения. PnkBstrB.xtr в этом файле VirusTotal.com нарыл это: ymantec 20111.2.0.82 2011.10.19 Suspicious.Cloud.5
TheHacker 6.7.0.1.325 2011.10.18 Trojan/Kryptik.th Сейчас нужно уходить, позже отпишусь. UPD: Итак, через "установку и удаление программ" удалил программу PunkBuster, в папке system32 остались файлы с pnkbstr в названии, их я удалил вручную - но проблема осталась. |
|
|
585
Стаж: 13 лет |
|
|
Оперативная память - модифицированный Win32/Spy.Shiz.NBW троянская программа - очистка невозможна че делать люди?
|
|
|
Vivian
Стаж: 15 лет |
|
|
585
Есть примерно такой файл или любой исполняемый файл (.exe)? Windows\apppatch\faeqym.exe Антивирус (NOD32, Eset или другой?) может удалить обнаруженный троян? Если может, нужно удалить. Трояны не вылечиваются, так как изначально являются вредоносными программами. |
|
|
FlYeR94 ®
Стаж: 14 лет |
|
|
Победа!
Группа вирусов была начисто вынесена последовательной проверкой всего и вся. 1) В AVZ был запущен скрипт, предоставленный юзером dinf, приношу извинения за недоверие и благодарю за помощь. begin
SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; DeleteFile('C:\WINDOWS\system32\owaedgf.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. 3) Лезу в реестр, удаляю весь раздел PunkBuster. 4) Делаю загрузочную флешку с KAV Rescue, проверяю жесткий диск - он (антивирус) что-то находит и удаляет. 5) Юзаю TDS Killer, он тоже удаляет несколько файлов из system32. После этого залез в браузер - а часть проблемы еще не решена (продолжает лезть internet.com, хотя реклама уже не появляется) 6) Снова запускаю AVZ с полной проверкой, он находит etclqrh.dll в папке system32 и удаляет её. Проблема решена. Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него? Последний раз редактировалось: FlYeR94 (2011-10-19 21:17), всего редактировалось 3 раз(а) |
|
|
-=Drago=-
Стаж: 15 лет |
|
|
Vivian
Антивирус (NOD32, Eset или другой?)
может удалить обнаруженный троян?
пробовал другу удалить с помощью AVPTool но ничего не вышло а хотя сам подлавил какой то вирус с помощью AVPTool удалил. |
|
|
Vivian
Стаж: 15 лет |
|
|
-=Drago=-
CureIt! и KVRT не видят троян из-за устаревших сигнатурных баз, скорее всего, так как Win32/Spy.Shiz.NBW добавлен в базы антивирусов (NOD32, Eset) только сегодня. На форумах предлагают скрипт удаления для AVZ^ : begin
SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\apppatch\mbdiyfm.exe',''); DeleteFile('C:\WINDOWS\apppatch\mbdiyfm.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. Как выполнить скрипт в AVZ:
Запустите AVZ нажмите Файл-Выполнить скрипт В открывшееся окно скопировать и вставить текст (будет дан в рекомедации по лечению в Вашей теме): и нажмите Запустить После чего Ваш компьютер перезагрузится. Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него?
Последний раз редактировалось: Vivian (2011-10-19 21:34), всего редактировалось 1 раз |
|
|
-=Drago=-
Стаж: 15 лет |
|
|
Vivian спасибо за помощь будем пробовать.
|
|
|
FlYeR94 ®
Стаж: 14 лет |
|
|
Сигнатурные базы NOD32 были обновлены? Полная проверка системного диска ничего не дала? На какой режим выставлена настройка защиты в реальном времени - эврестический анализ и пр.?
Судя по всему, сейчас он очень слабый в плане поиска вирусов - находит что-нибудь очень редко, а проверяю хард я каждые две недели. |
|
|
Топик был перенесен из форума Вопросы по железу и ПО в форум Архив
Bert |
|
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 05-Дек 00:28
Часовой пояс: UTC + 5