Нахватал заразы. Помогите, пожалуйста. [OК]

23 сентября, 2009

Ситуация точь в точь с этой

Так же вначале запустился ие, открылась страничку с иероглифами, затем все начало дико тормозить, появилась пара десятков новых процессов, тут же проснулся касперский, нашел кучу вирусни, начал лечить/удалять. Дополнительно прогнал в безопасном режиме + проверил cure it.

В итоге сейчас при старте системы видно 3-4 левых процесса типа j002.exe, j003.exe. При подключении к интернету касперский ругается на трояны, хидден инсталлы, руткиты, invader'ы, пишет, что необходима спец. процедура лечения с перезагрузкой, а после перезагрузки все начинается сначала.

Помогите, плиз.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 24 сентября, 2009 пользователем ТроПа

23 сентября, 2009

выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\vbikq45jvm\j003.exe');
TerminateProcessByName('c:\windows\system32\i\j002.exe');
StopService('fsaa');
StopService('bfy');
DeleteService('OSEvent');
DeleteService('fsaa');
DeleteService('bfy');
StopService('bfy');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe','');
QuarantineFile('c:\windows\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe','');
QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
QuarantineFile('C:\WINDOWS\system32\ac9a.exe','');
QuarantineFile('c:\windows\system32\blbrunsrv.dll','');
QuarantineFile('C:\WINDOWS\System32\blblogsrv.dll','');
QuarantineFile('c:\windows\system32\vbikq45jvm\j003.exe','');
QuarantineFile('c:\windows\system32\i\j002.exe','');
DeleteFile('c:\windows\system32\sysDll.exe');
DeleteFile('c:\windows\system32\i\j002.exe');
DeleteFile('c:\windows\system32\vbikq45jvm\j003.exe');
DeleteFile('C:\WINDOWS\System32\blblogsrv.dll');
DeleteFile('c:\windows\system32\blbrunsrv.dll');
DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\U54VJW32NM\P001.exe');
DeleteFile('C:\WINDOWS\system32\EOUPKV87SK\H001.exe');
DeleteFile('C:\WINDOWS\system32\MOLMC8MULR\H001.exe');
DeleteFile('C:\WINDOWS\system32\QGGTMFRB58\H001.exe');
DeleteFile('C:\WINDOWS\system32\s.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4NNKF6KB\H001[2].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[1].exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5XK6RA7B\H001[2].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
DeleteFileMask('c:\windows\system32\i', '*.*', true);
DeleteDirectory('c:\windows\system32\i');
DeleteFileMask('c:\windows\system32\vbikq45jvm', '*.*', true);
DeleteDirectory('c:\windows\system32\vbikq45jvm');
DeleteFileMask(':\WINDOWS\system32\QGGTMFRB58', '*.*', true);
DeleteDirectory(':\WINDOWS\system32\QGGTMFRB58');
DeleteFileMask('C:\WINDOWS\system32\EOUPKV87SK', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\EOUPKV87SK');
DeleteFileMask('C:\WINDOWS\system32\MOLMC8MULR', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\MOLMC8MULR');
DeleteFileMask('C:\WINDOWS\system32\QGGTMFRB58', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\QGGTMFRB58');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Знакомы днс ?

213.179.249.133
213.179.249.134

Сделайте новые логи.

Изменено 23 сентября, 2009 пользователем snifer67

23 сентября, 2009

Спасибо!

Выполнил скрипт + касперский вроде как чего-то вылечил.

В итоге осталось 2 процесса: kdfadia.exe и cmd.exe. Последний грузит процесор на 30-50%. Больше видимых пакостей не происходит.

ДНС-ы провайдерские вроде (укртелеком)

Новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

23 сентября, 2009

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\kdfadia.exe');
DeleteService('sdsdfesje');
DeleteService('n hj');
QuarantineFile('C:\WINDOWS\system32\sysDll.exe','');
QuarantineFile('C:\WINDOWS\Fonts\50750243.DLL','');
QuarantineFile('c:\windows\system32\kdfadia.exe','');
DeleteFile('C:\WINDOWS\nhg.exe');
DeleteFile('c:\windows\system32\kdfadia.exe
DeleteFile('C:\WINDOWS\system32\sysDll.dll');
DeleteFile('C:\WINDOWS\system32\sysDll.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
BC_DeleteFile('C:\WINDOWS\system32\sysDll.exe');
BC_DeleteFile('C:\WINDOWS\system32\sysDll.dll');
BC_DeleteFile('C:\WINDOWS\system32\kdfadia.exe');
DeleteFile('C:\Documents and Settings\111\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\Fonts\50750243.DLL');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи.

Изменено 23 сентября, 2009 пользователем snifer67

23 сентября, 2009

Огромное спасибо!

Все нехорошее погибло, тишина и спокойствие... Но все равно как-то ссыкотно...

Еще логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

23 сентября, 2009

Зверьки не хотят уходить по хорошему .

Скачайте http://ifolder.ru/6493654

Запустите, перейдите на вкладку File- Найдите эти файлы C:\WINDOWS\system32\windswe.exe , c:\windows\system32\sysDll.exe,C:\WINDOWS\nhg.exe -Найдите эти файлы- Правой кнопкой мыши - force delete.

+Контрольные логи avz.

Изменено 23 сентября, 2009 пользователем snifer67

23 сентября, 2009

Сейчас скачаю.

А насчет ссыкотно - не зря было

svchost.exe разошлся и начал грузить процессор на 90% в итоге вообще подвисло все.

Спасибо

windswe.exe удалил

вторых двух итак не было.

Логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

23 сентября, 2009

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('windswe');
DeleteService('n hj');
DeleteFile('C:\WINDOWS\nhg.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('windswe');
BC_DeleteSvc('n hj');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

23 сентября, 2009

Спасибо.

Выполнил.

Новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

23 сентября, 2009

Логи чисты.

23 сентября, 2009

Логи чисты.

Ну, стало быть, мучас грациас всем

Щас пойду сервис паки с заплатками ставить, и прочие рекомендации по возможности...

Всего вам доброго, еще раз спасибо.

Если вдруг зверушки вернутся, я тут попишу еще

Изменено 23 сентября, 2009 пользователем daemonarch

Нахватал заразы. Помогите, пожалуйста. [OК]

Рекомендуемые сообщения

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

snifer67

Ссылка на комментарий

Поделиться на другие сайты

daemonarch

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum