Вроде вирусим... (*логи вкл) [LOG+]

[foxi_нья]

День добрый!

Стоит КИС2010, пробн. В отчете выводит 18 зловредов, а ничего больше с ними не делает...

 

История моя долгая и запутанная, а знаю я так мало, что можно я просто вложу свои логи и буду ждать ответ?

Но если будет необходимо, то сформулировать все же попытаюсь.

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Константин Артурыч]

Извиняюсь за возможно глупый вопрос: Вы уязвимости не путаете с вирусами?

[foxi_нья]

Не должна вроде )))

Показывает Backdoor, trojan.Buzus и еще много разных зверей, даж какой-то HEUR...

[миднайт]

Отключите ПК от интернета и локалки. Отключите антивирус и фаервол.

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hulkeqme');
DeleteService('hulkeqme');
QuarantineFile('C:\WINDOWS\system\smsc.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\msmacro32.exe','');
QuarantineFile('usb_mgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys','');
DeleteFile('usb_mgr.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys');
DeleteFile('C:\WINDOWS\msmacro32.exe');
DeleteFile('C:\WINDOWS\msmacro64.exe');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('C:\WINDOWS\system\smsc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

Повторите логи + сделайте лог программой Gmer.

 

В AVZ - Сервис - поиск файлов на диске - поищите на диске С файлы ufxduhc.jvo и fmddrq.vqf , проверьте их на virustotal.com Результат напишите тут.

Изменено 25 сентября, 2009 пользователем миднайт

[snifer67]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hulkeqme');
DeleteService('hulkeqme');
QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system\smsc.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\msmacro32.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\msmacro32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
DeleteFile('C:\WINDOWS\msmacro64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
DeleteFile('C:\WINDOWS\system\smsc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WSSVC');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте новые логи.

Изменено 25 сентября, 2009 пользователем snifer67

[foxi_нья]

Логи выполнять по очереди? И после каждого выложить новые?

И.. Не могу загрузить этот gmer/ Страничка с ним не хочет открываться. Мож пока без него?

[snifer67]

Скрипт выполнять любой,два скрипта выполнять не надо.Можно пока без gmera обойтись.Логи выполнять одни.

[Falcon]

Выбирайте любой, а то подерутся еще.

 

Гмер возьмите из вложения.

gmer.rar

[foxi_нья]

Прошу прощения за такую неоперативность...

Нахожусь в статусе молодой мамашки, не всегда есть время и силы )))

Выполнила 1й скрипт, по праву очередности, без обид

На диске С первый файл не найден, второй указанный найден. Результат я бы не против написать, только там как-то много очень информации.... Можно я все это вордовским прикреплю?

А над Гмером сейчас тружусь

 

 

quarantine.zip на newvirus@kaspersky.com отправила

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

вирустотал.doc

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\fmddrq.vqf','');
DeleteFile('C:\WINDOWS\fmddrq.vqf');
DeleteFile('C:\WINDOWS\ufxduhc.jvo');
DeleteFileMask('C:\WINDOWS\', 'fmddrq.*', true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux1');
DeleteFileMask('C:\WINDOWS\', 'ufxduhc.*', true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи + ждем лог gmer

[foxi_нья]

после нового скрипта надо снова карантин на newvirus@kaspersky.com отправлять? Или на первый ждем ответ?

gmer.log

[thyrex]

Карантин отправляйте.

 

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8lfr977q.exe (gmer)

8lfr977q.exe -del service ttcfd
8lfr977q.exe -del file "C:\WINDOWS\system32\hysvj.dll"
8lfr977q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ttcfd"
8lfr977q.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ttcfd"
8lfr977q.exe -reboot

И запустите cleanup.bat

Компьютер перезагрузится

 

Сделать новый лог gmer

[foxi_нья]

Это новые логи, а сейчас займусь гмером

 

Подскажите, нормально, что гмер собирается очень долго, да?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

gmer.log

[миднайт]

Подскажите, нормально, что гмер собирается очень долго, да?

ничего страшного. выполните последний скрипт из сообщения #12 от thyrex. только после этого повторите логи.

[thyrex]

Пофиксить в Hijack

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s

Выполните указанный выше скрипт для gmer и сделайте только новые лог gmer и HiJack

Логи AVZ больше не нужно переделывать.

Изменено 28 сентября, 2009 пользователем thyrex