Как избавиться от вируса? Победа над ним, ура :)

Страницы :   Пред.  1 2 3
Автор Сообщение
Vivian

Стаж: 15 лет
Сообщений: 613

Создавать темы Vivian написал(а)
19-Окт-2011 15:35
FlYeR94
Ясно. Я подправил свой предыдущий пост.
Вот тут Нашел описание удаления MPK.exe
http://greatis.com/blog/not-a-virus/mpk-exe-keylogg...onal-monitor.htm
Хорошо бы залить на virustotal.com файлы:
PnkBstrA.exe
GuardGuard.exe
PMB.exe
BCU.exe
При залитии virustotal спрашивает, отсканировать заново или посмотреть прошлое сканирование - нужно сделать сканирование заново
Хотя, если у антивирусных вендоров пока нет сигнатуры к новому вирусу, это ничего не даст.
Что с файлом HOSTS? Должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x
127.0.0.1       localhost
Больше ничего подсказать не могу. ac


Последний раз редактировалось: Vivian (2011-10-19 15:46), всего редактировалось 1 раз
Профиль  ЛС 
FlYeR94 ®

Стаж: 14 лет
Сообщений: 135

Создавать темы FlYeR94 ® написал(а)
19-Окт-2011 15:52 (спустя 16 минут)
Что с файлом HOSTS? Должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 toybox.garrysmod.com
127.0.0.1 toyboxapi.garrysmod.com# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
77.79.161.70 torrents.local
10.2.88.20 tracker.local
77.79.161.70 torrents.local
10.2.88.20 tracker.local
После выполнения надо проверить, чтобы после каждой команды было написано об успешности выполнения команды.
Больше половины не получилось, пишет:
Системе не удалось найти указанный раздел или параметр реестра-Ага! В папке system32 нашел несколько файлов со словом PnkBstr названии, при этом один из них появился вчера, в день заражения.
PnkBstrB.xtr в этом файле VirusTotal.com нарыл это:
ymantec 20111.2.0.82 2011.10.19 Suspicious.Cloud.5
TheHacker 6.7.0.1.325 2011.10.18 Trojan/Kryptik.th
Судя по дате и по неимению этого вируса в базе данных большинства антивирусов, судя по всему, он появился недавно.
Сейчас нужно уходить, позже отпишусь.
UPD: Итак, через "установку и удаление программ" удалил программу PunkBuster, в папке system32 остались файлы с pnkbstr в названии, их я удалил вручную - но проблема осталась.
Профиль  ЛС 
585

Стаж: 13 лет
Сообщений: 3
Откуда: Russia

Создавать темы 585 написал(а)
19-Окт-2011 20:45 (спустя 4 часа)
Оперативная память - модифицированный Win32/Spy.Shiz.NBW троянская программа - очистка невозможна че делать люди?
Профиль  ЛС 
Vivian

Стаж: 15 лет
Сообщений: 613

Создавать темы Vivian написал(а)
19-Окт-2011 21:03 (спустя 18 минут)
585
Есть примерно такой файл или любой исполняемый файл (.exe)? Windows\apppatch\faeqym.exe
Антивирус (NOD32, Eset или другой?) может удалить обнаруженный троян? Если может, нужно удалить. Трояны не вылечиваются, так как изначально являются вредоносными программами.
Профиль  ЛС 
FlYeR94 ®

Стаж: 14 лет
Сообщений: 135

Создавать темы FlYeR94 ® написал(а)
19-Окт-2011 21:14 (спустя 10 минут)
Победа!
Группа вирусов была начисто вынесена последовательной проверкой всего и вся.
1) В AVZ был запущен скрипт, предоставленный юзером dinf, приношу извинения за недоверие и благодарю за помощь.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
DeleteFile('C:\WINDOWS\system32\owaedgf.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
2) После перезагрузки вновь запускаю AVZ, делаю полную проверку жесткого диска, он удаляет файл PnkBstrB.xtr (на этот раз окончательно) из папки System32.
3) Лезу в реестр, удаляю весь раздел PunkBuster.
4) Делаю загрузочную флешку с KAV Rescue, проверяю жесткий диск - он (антивирус) что-то находит и удаляет.
5) Юзаю TDS Killer, он тоже удаляет несколько файлов из system32. После этого залез в браузер - а часть проблемы еще не решена (продолжает лезть internet.com, хотя реклама уже не появляется)
6) Снова запускаю AVZ с полной проверкой, он находит etclqrh.dll в папке system32 и удаляет её. Проблема решена.
Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него?


Последний раз редактировалось: FlYeR94 (2011-10-19 21:17), всего редактировалось 3 раз(а)
Профиль  ЛС 
-=Drago=-

Стаж: 15 лет
Сообщений: 234

Создавать темы -=Drago=- написал(а)
19-Окт-2011 21:14 (спустя 14 секунд)
Vivian
Антивирус (NOD32, Eset или другой?)
(NOD32)
может удалить обнаруженный троян?
нет не получается удолить
пробовал другу удалить с помощью AVPTool но ничего не вышло а хотя сам подлавил какой то вирус с помощью AVPTool удалил.
Профиль  ЛС 
Vivian

Стаж: 15 лет
Сообщений: 613

Создавать темы Vivian написал(а)
19-Окт-2011 21:27 (спустя 13 минут)
-=Drago=-
CureIt! и KVRT не видят троян из-за устаревших сигнатурных баз, скорее всего, так как Win32/Spy.Shiz.NBW добавлен в базы антивирусов (NOD32, Eset) только сегодня.
На форумах предлагают скрипт удаления для AVZ^
:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\apppatch\mbdiyfm.exe','');
DeleteFile('C:\WINDOWS\apppatch\mbdiyfm.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Вместо mbdiyfm может быть другое название. У меня в папке apppatch файлов .exe нет вообще, так что, скорее всего, файл там 1. Его имя надо поставить вместо mbdiyfm и выполнить в AVZ
Как выполнить скрипт в AVZ:
Запустите AVZ
нажмите Файл-Выполнить скрипт
В открывшееся окно
скопировать и вставить текст (будет дан в рекомедации по лечению в Вашей теме):
и нажмите Запустить
После чего Ваш компьютер перезагрузится.
Неужели NOD32 так беспомощен? Какой антивирус посоветуете вместо него?
Сигнатурные базы NOD32 были обновлены? Полная проверка системного диска ничего не дала? На какой режим выставлена настройка защиты в реальном времени - эврестический анализ и пр.? С NOD32 давно не сталкивался, поэтому не знаю, какие у него настройки. Вероятно, попался вирус, который еще не был добавлен в антивирусную базу антивируса. А какой у NOD32 HIPS и антируткит - мне неизвестно. Факторов может быть много. Потому нет 100 процентной защиты от новых угроз и нужно обязательно соблюдать гигиену - следить за автозапуском и не запускать незнакомые файлы. Советую использовать для браузера песочницу (Sandboxie) или другую. Не работать в учетной записи администратора. Не устанавливать незнакомые приложения, скаченные неизвестно откуда. Есть еще много правил, которые надо соблюдать.


Последний раз редактировалось: Vivian (2011-10-19 21:34), всего редактировалось 1 раз
Профиль  ЛС 
-=Drago=-

Стаж: 15 лет
Сообщений: 234

Создавать темы -=Drago=- написал(а)
19-Окт-2011 21:32 (спустя 4 минуты)
Vivian спасибо за помощь будем пробовать.
Профиль  ЛС 
FlYeR94 ®

Стаж: 14 лет
Сообщений: 135

Создавать темы FlYeR94 ® написал(а)
19-Окт-2011 21:57 (спустя 25 минут)
Сигнатурные базы NOD32 были обновлены? Полная проверка системного диска ничего не дала? На какой режим выставлена настройка защиты в реальном времени - эврестический анализ и пр.?
Да, да и да.
Судя по всему, сейчас он очень слабый в плане поиска вирусов - находит что-нибудь очень редко, а проверяю хард я каждые две недели.
Профиль  ЛС 
Создавать темы 25-Окт-2011 11:05 (спустя 5 дней)
Топик был перенесен из форума Вопросы по железу и ПО в форум Архив

Bert
 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 05-Дек 00:49
Часовой пояс: UTC + 5