BigDeF 0 Опубликовано 15 января, 2009 Share Опубликовано 15 января, 2009 (изменено) Примерно 2 дня назад началось. Работает вирус приблизительно так-при запуске медиа файла-например фильма-говорит что не может найти кодеки, аудиоустройство, делает стиль Винды под 98, панель делает в 1 строку(панель задач, я по дефолту делаю в 2 раза шире) и рубает все службы управления сетью-сервер папки обмена, сетевые подключения и т.п. Kaspersky Internet Security 2009 нашел, вроде удалил, но вирус и дальше работает. Только что КИС сказал, что базы повреждены и отключил защиту. Потом сказал что лицензии нету. Обновил, вроде все включилось. З,Ы, Заплатку попробовал поставить-сказала винда, что на сп 3 она уже стоит. И автозапуск отключил на девайсах, флеху втыкал- в тотале ничего не увидел, чиста. никаких авторанов и т.п. Ах да, и восстановление системы выключено по дефолту, не люблю лишнего на компе. Винда ХР СП 3. З,Ы,Ы, Кстати, что характерно. Примерно дня 4 назад начались атаки от компов, несуществующих и существующих в сети(т.е. компы есть такие, но они сейчас выключены и не в сети). Сетевые атаки. Скрин я тогда на всякий случай сделал, прикладываю. Прошу помочь как можно быстрее! Спасибо заранее за советы З,Ы,Ы, КИС врубился, просканировал все по-быстрому, и даже после обновлений ничего не нашел. Добавляю отчет и анализ GetSysInfo http://gsi.kaspersky.fr/read.php?file=d8b8...0945013bc7adc5a Так же воспользовался утилой KWLK. При сканировании в памяти ничего не нашло. Запустил с ключом /s, лог будет утром... Лога нет, но утила ничего не обнаружила, а симптомы вируса и дальше работают(сетевые атаки продолжаются). Ах да, есть еще один вопрос... Как убрать файл с карантина в КИС 2009? я вообще не могу найти этот карантин и резервное хранидище, хотя в ранних версиях КАВ его можно было нормально посмотреть и отмодерировать там файлы по своему усмотрению. 15.01.2009 9:40:44 G:\Total Commander PE\TotalCommanderPodarokEdition21.exe Total Commander 32 bit international version, file manager replacement for Windows Помещено на карантин Вредоносная программа Multi.Packed Средняя Эвристический анализ Вот Такого вот типа мессага в отчете светится. Нашел на сайте каспера руководство как изъять файлы, но мало что понял. Может вы лучше обьясните? "Продукты Лаборатории Касперского версии 2009 хранят файлы, помещенные на карантин и в резервное хранилище, в следующих папках: * Операционная система Windows XP: o \Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\QB - папка файлов, помещенных на карантин и в резервное хранилище Файлы в этих папках хранятся во внутренних бинарных форматах. Файлы из карантина и резервного хранилища можно восстановить при помощи другого компьютера, скопировав файлы карантина и резервного хранилища из папок, которые перечислены выше, в соответствующие папки на другом компьютере." Выделенного не совсем понял. Каак это сделать? и откуда мне узнать какой файл мне нужен и какой был его прежний размер и его название-это очень важно, ведь в Qb все файлы названы вот так по типу: 7c83119ed1221d81.klq 06441810ba180c05.klq bt.avz e4185662125b11cd.klq f2e127e68f568b84.klq fcc27deb8e8f233f.klq tsw.avz Что делать, как быть? Помогите, очень прошу! Строгое предупреждение от модератора Elly Красным здесь пишет только администрация hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip sysinfo.txt Изменено 16 января, 2009 пользователем Elly Цитата Ссылка на сообщение Поделиться на другие сайты
sergtask 16 Опубликовано 15 января, 2009 Share Опубликовано 15 января, 2009 C:\D&S\All Users\Главное меню\Программы\Автозагрузка\desktop.ini я б убрал из автозапуска а это б удалил c:\program files\supercopier2\supercopier2.exe. а вообще подожди немного сейчас появиться народ бысто диагноз поставят Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 15 января, 2009 Автор Share Опубликовано 15 января, 2009 (изменено) а это б удалил c:\program files\supercopier2\supercopier2.exe. норм програмулина, ничего вредоносного ни разу за ней не замечал КИС. тоже жду экспертов... а в том .ини всего лишь [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 Изменено 15 января, 2009 пользователем BigDeF Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 15 января, 2009 Share Опубликовано 15 января, 2009 (изменено) Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\hporclnr.exe'); QuarantineFile('C:\WINDOWS\Temp\mc21.tmp',''); QuarantineFile('C:\WINDOWS\System32\Drivers\a2qnpl53.SYS',''); QuarantineFile('c:\windows\hporclnr.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ao78t4u4.SYS',''); DeleteFile('c:\windows\hporclnr.exe'); DeleteFile('C:\WINDOWS\Temp\mc21.tmp'); DeleteFile('C:\WINDOWS\System32\Drivers\a2qnpl53.SYS'); DeleteFile('C:\WINDOWS\System32\Drivers\ao78t4u4.SYS'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Повторите логи, надобно затереть нехороший TMP из модулей пространства ядра. Карантин отправьте на newvirus@kaspersky.com. Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows. Скачайте и установите вот отсюда. Изменено 15 января, 2009 пользователем Falcon 1 Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 15 января, 2009 Автор Share Опубликовано 15 января, 2009 (изменено) Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.Скачайте и установите вот отсюда. У меня стоит Винда Хп сервис паком 3, там это обновление по умолчанию стоит, я пробовал установить, мне ответили, что такое обновление у меня уже установлено АВЗ обновил, сейчас логи будут. Что на счет карантина мне порекомендуете? я реально не знаю как его найти в КИС 2009, и не могу изьять из него нужные мне файлы! Выполнил скрипт авз, отослал карантин, пришел ответ: hporclnr.exe, KBHook.dll Вредоносный код в файлах не обнаружен. >From: bigdef@gmail.com >Sent: Jan 15 2009 1:52PM >To: "New Virus" <newvirus@kaspersky.com> >Subject: Вирус > >Собсно, вот! > http://forum.kasperskyclub.ru/index.php?showtopic=7442 > -- > С уважением, Деф > С уважением, Вирусный Аналитик. _____________________ ЗАО "Лаборатория Касперского" Россия, Москва Тел. : +7 (495) 797-8700 E-mail : newvirus@kaspersky.com Internet : http://www.kaspersky.com, http://www.viruslist.com Это сообщение или его часть не может быть опубликована в любых средствах массовой информации, форумах, конференциях и.т.д, без предварительного разрешения отправителя. При ответе цитируйте всю предыдущую переписку. Спасибо. Логи ниже. вот, только что опять.... hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 15 января, 2009 пользователем BigDeF Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 15 января, 2009 Share Опубликовано 15 января, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 15 января, 2009 Автор Share Опубликовано 15 января, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: * Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. * Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. надоело все это делать, винду переделало до неузнаваемости-забил, удалил так, как посоветовал товарищ вот http://forum.kasperskyclub.ru/index.php?sh...amp;#entry76172 мда, а ответов на все вопросы мне так и не дали.. что с карантином делать, как оттуда файлы изымать? Цитата Ссылка на сообщение Поделиться на другие сайты
sergio342 108 Опубликовано 15 января, 2009 Share Опубликовано 15 января, 2009 Раздел 2, вопрос 2: http://forum.kaspersky.com/index.php?showt...mp;#entry683828 Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 15 января, 2009 Автор Share Опубликовано 15 января, 2009 (изменено) собсно картинки приложены. ничего восстановить не удается ;( Изменено 16 января, 2009 пользователем BigDeF Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 надоело все это делать, винду переделало до неузнаваемости-забил, удалил так, как посоветовал товарищ вот ничего восстановить не удается ;( Будете продолжать заниматься самолечением или всё-таки выложите логи? Если 2-ое, сделайте ещё лог gmer (после логов из поста 6). Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 ща будут логи. . info.txt log.txt fast_gmer.log full_gmer.log Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 Сделайте остальные логи Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 combofix ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Alexey_I 5 Опубликовано 16 января, 2009 Share Опубликовано 16 января, 2009 Запустите gmer, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файл C:\WINDOWS\system32\tyegajdg.dll Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление. Выберите вкладку Sevices найдите biarxifepgbcxl Пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete Удалите в реестре (если останется), можно тоже через gmer - вкладка Registry HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxlHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife Файл можете отослать на newvirus@kaspersky.com Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File:: c:\windows\Temp\mc21.tmp H:\evuzrb.exe C:\WINDOWS\system32\tyegajdg.dll Driver:: biarxife pgbcxl mchInjDrv Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1457:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03c38ccb-cd23-11dd-bd23-001731650ace}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35b4904d-bcc1-11dd-bd1f-001731650ace}] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mchInjDrv] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxl] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pgbcxl] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\biarxife] [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv] [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\pgbcxl] [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\biarxife] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
BigDeF 0 Опубликовано 16 января, 2009 Автор Share Опубликовано 16 января, 2009 Запустите gmer, нажмите справа от вкладки Rootkit/Malware клавишу >>>, выберите вкладку Files. Появится аналог проводника. Найдите файлЦитата C:\WINDOWS\system32\tyegajdg.dll Нажмите Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите Deletе для удаления файла и подтвердите удаление. файла там уже нету, его касперский удалил по ходу дела. Выберите вкладку Sevices найдитеЦитата biarxife pgbcxl Пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete Удалите в реестре (если останется), можно тоже через gmer - вкладка Registry Цитата HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pgbcxl HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\biarxife удалить не могу, снизу скриншот. все выделено красным. удалить просто невозможно. P.S. спасибо за быстрое реагирование, продолжаю действовать по инструкциям. gmer снова нашел заразу;( короче вроде разобрался что к чему, нашел сам в реестре в сервисах его папки, а удалить не могу почему? да все просто, разрешения - добавил себя, добавил полный доступ-и сразу все удалилось. систем32 пару раз просканил на характерный размер файла в байтах-167324, ничего не нашел, обновил касперского-опять же пусто. ну Слава Богу, наверное уже все. Если атак не будет-значит наверное пусто. Спасибо большое всем. впрочем, может быть до конца и не долечил ;((((( сетевые атаки на порт 445 продолжаются, хотя гмер ничего не показывает ;( ComboFix.txt gmer_fast.log Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.