парни хелп плз

[Blood_Rain_X]

Вообщем долбаная зараза о5 прицепилась ко мне. создает новое подключение в системных подключениях под названием "Internet" и не дает заходить в инет, отрубает через 5 сек после подключения. антивируса толкового нету. вот завтра буду качать, а пока прошу вашей помощи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 17 февраля, 2010 пользователем Blood_Rain_X

[lifestory]

Сделайте логи повторно.

Изменено 18 февраля, 2010 пользователем liveStory

[Blood_Rain_X]

Спасибо, все сделал. обновился, письмо отправил, скрипты выполнил, вот новые логи:

virusinfo_syscure.zip

hijackthis.log

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263}');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\263.exe','');
QuarantineFile('C:\WINDOWS\system32\L623E.tmp.exe','');
QuarantineFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\465.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\465.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','refresh');
DeleteFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe');
DeleteFile('C:\WINDOWS\system32\L623E.tmp.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\263.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

- Сделайте новые логи.

[Blood_Rain_X]

скрипты выполнил. затем запустил КомбоФикс (все отрубив), который выдал мне что-то про виртуальные приводы (забыл их отрубыть в Демоне, хотя сам Демон был отрублен), после сообщения о вируальных приводах - перезагрузился. потом он врубился, не загружая Винду (ну тоесть одна обоина была видна), и выдал 2 сообщения (точно не помню о чем они, чет на англ язе было написанно, но в одном из них вроде про инте что-то гвоорилось), одно из которых с вариантами ответа yes и no (я нажал yes). затем пошел поэтапно что-то делать, потом о5 перезагрузка и создание лога. хоть там и было написанно не запускать проги, у мну они с загрузкой винды сами запустились. ну вообщем как-то так.

 

держите новые логи:

 

PS. не посоветуете хороший бесплатный антивирус?

hijackthis.log

virusinfo_syscure.zip

ComboFix.txt

Изменено 18 февраля, 2010 пользователем Blood_Rain_X

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','refresh');
DeleteFile('C:\WINDOWS\system32\digest.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Сделайте новые логи.

[Blood_Rain_X]

логи:

virusinfo_syscure.zip

hijackthis.log

[snifer67]

- Выполните скрипт в avz

begin
DelAutorunByFileName('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
SysCleanAddFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
RebootWindows(true);
end.

- ПК перезагрузится.

 

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

[Blood_Rain_X]

готово:

virusinfo_syscheck.zip

[snifer67]

C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe проверьте на http://www.virustotal.com/

[Blood_Rain_X]

Файл уже проанализирован:

MD5: e799a2194144999bd7c2074aa40a8ddb

First received: 2009.03.23 19:52:30 UTC

Дата: 2009.11.08 09:27:39 UTC [>102D]

Результаты: 1/40

Permalink: analisis/73ae6ca3b10b15a6376fafd612f29a1a14762ccb0043e9449c119a228b644731-1257672459

 

 

Файл Refresher.exe получен 2009.11.08 09:27:39 (UTC)

Текущий статус: закончено

Результат: 1/40 (2.50%)

 

Дополнительная информация

File size: 357066 bytes

MD5 : e799a2194144999bd7c2074aa40a8ddb

SHA1 : 0cdcd285c2df5615b3d30b86f2b8523241241e64

SHA256: 73ae6ca3b10b15a6376fafd612f29a1a14762ccb0043e9449c119a228b644731

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x3D7C0

timedatestamp.....: 0x463C18C6 (Sat May 5 07:40:22 2007)

machinetype.......: 0x14C (Intel I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x29000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x2A000 0x14000 0x13A00 7.91 c1a1268269e46b2138d274741cf3661c

.rsrc 0x3E000 0x8000 0x7200 5.60 d8d7bc4a013606f138d114b1b4baf49c

 

( 8 imports )

 

> advapi32.dll: RegCloseKey

> comctl32.dll: -

> comdlg32.dll: GetOpenFileNameA

> gdi32.dll: DeleteObject

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> ole32.dll: OleInitialize

> shell32.dll: SHGetMalloc

> user32.dll: SetMenu

 

( 0 exports )

TrID : File type identification

WinRAR Self Extracting archive (87.0%)

UPX compressed Win32 Executable (5.1%)

Win32 EXE Yoda's Crypter (4.4%)

Win32 Executable Generic (1.4%)

Win32 Dynamic Link Library (generic) (1.2%)

ssdeep: 6144:CkUHbUZh7ZyJ1m21lB2I+Z2Av20++F5b0D5of6tAeQ5w7wCasKxgr3M/BJXk:U7c7ZyJ7r+DvR+K90D5of6tAeQ58Hri6

PEiD : -

packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX

packers (F-Prot): RAR, UPX

RDS : NSRL Reference Data Set

-

 

 

а вообщем вот ссыль http://www.virustotal.com/ru/reanalisis.ht...4731-1266516148

Изменено 18 февраля, 2010 пользователем Blood_Rain_X

[Kopeicev]

Refresher.exe отправьте на newvirus@kaspersky.com и http://support.kaspersky.ru/virlab/helpdesk.html (продублируйте на всякий случай)

 

Детектирует как вирус только пока что:

Comodo 3982 2010.02.18 Worm.Win32.AutoIt.~NUP

 

Выполните скрипт в AVZ:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe ',' ');
BC_DeleteReg('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

ПК перезагрузиться.

Повторите лог.

Изменено 18 февраля, 2010 пользователем Kopeicev

[Blood_Rain_X]

в компе его не нахожу кста, точнее папку где он лежит не могу найти, поэтому приходится просто вписывать путь в обзор чтобы отправить. а в поиске обнаруживаю еще 2 рефрешер.exe в других папках.

 

такс вообщем письмо отправил. сделал скрипт, после того как комп перезагрузился появилось окошко, что файл C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe не был найден, на всякий случай прикрпеляю вам скрин.

 

ну и от сбея добавлю, что у мну стоит XP, а под нее скаченная из интернета Vista pack, тоесть вистовское оформление, мб оно как-то плохо влияет. ну вообщем эт я так, уведомил.

 

логи и скрин:

virusinfo_syscheck.zip

hijackthis.log

[Kopeicev]

Выполните скрипт в AVZ:

begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);   
DelAutorunByFileName('C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe');	   
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Сообщите исчезло ли окно.

[snifer67]

Пофиксить в HijackThis

O4 - HKLM\..\RunOnce: [refresh] "C:\DOCUME~1\Admin\LOCALS~1\Temp\Refresher.exe"

ПК перезагрузите.