CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

после заражения не могу очистить до конца систему

отредактировано 12 Jul Раздел: Форум лечения заражений
здравствуйте. не получается полностью очистить компьютер от заражения после того как скачала крякнутую программу.проверяла разными антивирусами и тд.. что то нашлось,удаляла,но не все. нортон нашел вирус в реестре,а удалить не смог и ту же самую инфекцию постоянно находит Rkill! удалить это не получается,перепробовала многое.так же, случайно увидила при просмотре диспетчера задач,в процессах,все время отображаются несколько вкладок браузера аваст,при том, что сам браузер не запущен.отключила службу автообновления,но это не сработало.что странно, в свойствах процесса-вкладка безопасность,имя пользователя обозначена незнакомая учетная запись. и это та же ветка реестра,в которой нортон и Rkill находят тот самый не убиваемый вирус.далее проверила утилитой RogueKiller,во вкладке процессы был обнаружен nokill tr.zeus.я не очень разобралась как работает эта прога,вроде бы она лишь находит вред проц,но не удаляет сами файлы..в общем, после 1 очистки ничего не поменялось и при повторной проверке тот же процесс был обнаружен снова, только с новым PID.после повторной очистки зараженный процесс больше выявлен не был.как обстоит дело на самом деле,остался ли троян в системе, понять не могу((.но Rkill продолжает находить всю ту же заразу в реестре. помогите пож разобраться.заранее спасибо!

Комментарии

  • через запуск Start.exe https://www.sendspace.com/file/g5b2vx
    startf с функцией чистый рабочий стол https://www.sendspace.com/file/wzi519
    безопасный режим,start.exe,с правами текущего пол -https://www.sendspace.com/file/i550d9
    я не знаю какая у меня учетка,есть ли права админа.но под другим пользователем запустить не получается,выскакивает табличка -админ, пароль,а пароля на учетки я не ставила,войти не выходит.такой момент -недавно для работы нужной мне программы создала учетку админа,полностью с правами администратора.но там не устан прог,которые существуют на этой,а так как я работаю только с этой,тему создаю именно с нее.сейчас зайду на учетку админа и сделаю лог..
  • здравствуйте,

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    apply
    
    regt 28
    regt 29
    deltmp
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D8FA671CDCBE7E355B3A0F3CE9CF1E80\FBA473728483260906BA044AF3C063E309E6259D
    delref %SystemRoot%\TEMP\E7CCD56D-1ECA-40CF-8A53-BD19961E2D62
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %SystemDrive%\USERS\III\DOWNLOADS\REGDRILL (1).EXE
    delref %SystemDrive%\USERS\III\DOWNLOADS\SPYKILLER40TRIAL.EXE
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\UMPO.DLL
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
    delref %Sys32%\BLANK.HTM
    delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
    delref {86B567D0-313C-11D2-8985-0080ADA96E9B}\[CLSID]
    delref %Sys32%\DRIVERS\AMSDK.SYS
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref TPAVDRW_SERVICE\[SERVICE]
    delref %Sys32%\PSXSS.EXE
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\WASPACE_3.12.5.1\WASPACE_3.12.5.1\LAUNCHER.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/

  • спасибо.сделала . но в окне выполнения оч часто шли строчки - программа,запись,файл удалить невозможно. прогой мальваре проверяла компьютер уже не раз+сразу после заражения,ничего кроме PUP найдено не было.сейчас сделаю еще раз. может быть скрипт выполнить в безопасном режиме ,тогда сработает?
  • лог проверки малваребайт добавьте так же как вы добавили образ автозапуска.
  • lenn11,
    вы по ссылке добавили скрипт uVS
    ;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;
    autoscript
    apply
    но сейчас нужен лог проверки в малваребайт, чтобы определить с какой проблемой вы сталкиваетесь, что конкретно находят другие антивирусные программы.
    вам просто нужно открыть малваребайт, и экспортировать последний лог проверки в текстовый файл, и записать его так же на sendspace.com, и дать на этот файл ссылку в сообщение.
  • отредактировано 13 Jul PM
    ой))... извините,) ошиблась при выборе.я просто не тот файл загрузила ((.минутку...
  • 3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
  • спасибо большое .кое что нашлось.посмотрите.доктор веб находит его постоянно ,но удалить не может. https://www.sendspace.com/file/0pnm7q

  • я имела ввиду-что сейчас программа обнаружила то,что раньше она ... пропускала....так как -и АдвКлинере, и малваребайт проверяю комп постоянно.а при этой проблеме с помощью них просканировала систему сразу же,но ничего серьезного они не нашли.вирус-PUP.Winlogon.Heuristic находил через раз доктор веб,результат был- вылечено,но как оказалось-нет.это я и подозревала,потому что при повторной проверке, через пару дней он проявлялся заново.
  • вечером посмотрю новые логи
  • отредактировано 14 Jul PM
    спасибо за всю помощь
  • отредактировано 14 Jul PM
    lenn11,
    6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    Task: {4F71A8BA-7D87-4521-AB24-DF2A848008A0} - \Pupdbrowser -> No File <==== ATTENTION
    Task: {58F96150-BCAD-466A-8355-1B7D78D6AB95} - \{960D33DE-7EA7-4BDD-A019-CDC5CB7331F3} -> No File <==== ATTENTION
    Task: {73A043A7-5784-481C-8A46-69A09F44FD2E} - \{8218BCF7-16F3-4300-992D-60448E2F0F9F} -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [123]
    AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [158]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [123]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DFC5A2B2 [158]
    EmptyTemp:
    Reboot:
    

    +
    можно проверить систему с помощью tdsskiller (одна из лучших утилит в данном разделе - периодически обновляется разработчиками) на предмет наличия скрытых файлов и сервисов. (а вдруг...)
    +
    добавить лог проверки

    http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe

    теперь по поводу этого ключа.
    PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit
    ключ системный, но в параметре userinit могут быть нежелательные программы.
    правильное значение Userinit в этом клюе должно быть такое:
    C:\Windows\system32\userinit.exe,
    если что-то другое добавлено, или файл userinit.exe подменен модифицированным файлом, тогд это явный зловред.

    В вашем случае, судя по образу автозапуска значение параметра Userinit очищено, т.е. файл userinit.exe явно не в автозапуске. Что не есть правильно.
    Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
    Имя файла USERINIT.EXE
    Тек. статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске

    Сохраненная информация на момент создания образа
    Статус ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
    File_Id 4CE79E9AC000
    Linker 9.0
    Размер 30720 байт
    Создан 21.11.2010 в 06:24:28
    Изменен 21.11.2010 в 06:24:28

    TimeStamp 20.11.2010 в 10:10:34
    EntryPoint +
    OS Version 0.1
    Subsystem Windows graphical user interface (GUI) subsystem
    IMAGE_FILE_DLL -
    IMAGE_FILE_EXECUTABLE_IMAGE +
    Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
    Цифр. подпись Действительна, подписано Microsoft Windows

    Оригинальное имя USERINIT.EXE.MUI
    Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
    Описание Приложение Userinit для входа в систему
    Производитель Microsoft Corporation

    Доп. информация на момент обновления списка
    SHA1 47267F943F060E36604D56C8895A6EECE063D9A1
    MD5 BAFE84E637BF7388C96EF48D4D3FDD53


    правильная запись в реестре должна быть следующей:
    Полное имя C:\WINDOWS\SYSTEM32\USERINIT.EXE
    Имя файла USERINIT.EXE
    Статус ИЗВЕСТНЫЙ в автозапуске
    File_Id 4CE79E9AC000
    Linker 9.0
    Размер 30720 байт
    Создан 21.11.2010 в 10:24:28
    Изменен 21.11.2010 в 10:24:28

    TimeStamp 20.11.2010 в 10:10:34
    EntryPoint +
    OS Version 0.1
    Subsystem Windows graphical user interface (GUI) subsystem
    IMAGE_FILE_DLL -
    IMAGE_FILE_EXECUTABLE_IMAGE +
    Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
    Цифр. подпись проверка не производилась

    Оригинальное имя USERINIT.EXE.MUI
    Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
    Описание Приложение Userinit для входа в систему
    Производитель Microsoft Corporation

    Ссылки на объект
    Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    Userinit C:\Windows\system32\userinit.exe,


    +
    судя по этой теме, вы одновременно проходите решение еще и на другом форуме
    https://forum.kasperskyclub.ru/index.php?showtopic=63266

    определитесь, где вы будете продолжать решение проблемы.
  • спасибо Вам! https://www.sendspace.com/file/z7865b
    https://www.sendspace.com/file/a26ysv

    к сожалению) я не разбираюсь в этом(( и не могу понять - в чем особо разница между тем,как есть и какой должна быть эта запись .но вот как выглядит этот куст реестра. скан .https://www.sendspace.com/file/qt2alt

    да,я создала тему и на другом форуме.так как не раз бывало такое,..что проблема,увы, но так и не решалась.хотя было совершено множество разных действий по лечению.да и сама я чего только не перепробовала до вас ,но результата нет.(( чем больше мнений,тем лучше!
    а разве это запрещено?

    я не хотела бы прерывать решение ни с вами,ни там...
    оч благодарна Вам за всю проделанную работу
  • и еще вопрос- Вы не считаете сканирование ркилл верным и файл,который она находит в реестре -вирусом?но нортон тоже нашел именно его +с высоким уровнем риска,и даже не смог удалить.
  • покажите что именно находит rkill и нортон. можно на рисунках.
  • я загрузила отчет ркил сразу во 2 сообщении, с файлами uVS.
    нортон удалила после проверки,т.к слабый комп и виснит. к тому же я проверяла разными антивирусами,по этому удаляла.а где находятся файлы отчетов, не знаю.
    но он находил тоже самое,что показывает ркилл.
  • судя по логам uvs, malwarebytes, adwcleaner, frst, tdsskiller ничего вредоносного не найдено в системе. можно еще сделать образ автозапуска из под winpe, чтобы исключить гипотетическую активность вредоносной программы (если она сохранилась в системе). сделать образ автозапуска из под winpe можно по следующей инструкции.
    https://forum.esetnod32.ru/forum27/topic2102/
  • спасибо Вам за помощь.
    скорее всего вирусов на компе и правда уже нет.ну,а если что то все таки и осталось,то вряд ли их возможно обнаружить.хакеры сейчас очень изворотливы((
  • отредактировано 17 Jul PM
    если бы знать с чем вы столкнулись во взломанной программе, тогда больше шансов найти последствие (файлы, ключи и параметры в реестре) в системе.

    так же проблема может возникнуть если вы используете несколько решений по безопасности в системе одновременно. Антивирусные программы могут подозрительно реагировать на на действия своих партнеров по защите системы.
Войдите или Зарегистрируйтесь чтобы комментировать.