"Что-то здесь не чисто...."

[Evgencheg]

Комп в целом работает нормально за редким исключением в том что оочень редко, но Nod32 (с устаревшими базами)

сообщает о появлении и последующем удалении неких exe-шников в папках /Film, /Music и в /Documents and Settings.

Одноврменно с этим (хотя вероятно и не связано) не обновляются Антивиры и нет доступа на некоторые сайты, в основном Антивирусов.

Не исключено что последствия каких-то "хвостов" от ранее пережитых вирусов.

Спасибо!

 

Да уж...

Логи прикрепить так и не удалось сразу! - через Анонимайзер не видно нужных опций!

Так что добавлю позднее через другой комп, наверное.

Изменено 15 февраля, 2011 пользователем Evgencheg

[Roman_Five]

пробуйте зайти в Вашу тему через эту ссылку без анонимайзера

http://87.242.74.203/index.php?showtopic=26474&hl=

[Evgencheg]

Увы. По ссылке тоже не удалось!

Отправляю с другого ПК.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Проверьте систему утилитой из этой статьи:

http://support.kaspersky.ru/viruses/solutions?qid=208636131

 

Пофиксите в HijackThis:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\4b6171cc.exe,\\?\globalroot\systemroot\system32\bytk8kl.exe,\\?\globalroot\systemroot\system32\jbg3ra2.exe,\\?\globalroot\systemroot\system32\gnxntuj.exe,c:\windows\system32\kgypwk.exe,
O4 - Startup: setup_9.0.0.722_14.02.2011_18-09.lnk = C:\Program Files\Virus Removal Tool\setup_9.0.0.722_14.02.2011_18-09\startup.exe

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('amsint32', 4);
StopService('amsint32');
QuarantineFile('c:\windows\system32\kgypwk.exe','');
QuarantineFile('c:\windows\system32\4b6171cc.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\gnxntuj.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\bytk8kl.exe','');
QuarantineFile('C:\DOCUME~1\365A~1\LOCALS~1\Temp\_tc\HDInspector.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\kmopnn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kmopnn.sys');
DeleteFile('\\?\globalroot\systemroot\system32\bytk8kl.exe');
DeleteFile('\\?\globalroot\systemroot\system32\gnxntuj.exe');
DeleteFile('\\?\globalroot\systemroot\system32\jbg3ra2.exe');
DeleteFile('c:\windows\system32\4b6171cc.exe');
DeleteFile('c:\windows\system32\kgypwk.exe');
DeleteService('amsint32');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Обновите базы AVZ!

 

Сделайте новые логи по правилам.

[Evgencheg]

Ну воооот! ))))

Уже совсем другое дело!

Обновиись базы AVZ и теперь непосредственно с этого компа

есть возможность отправить "новые" log-и.

Спасибо!

 

Ответ ЛК:

---------------------------------------------------

>

>

>qurantine.zip

>

>Вредоносный код в файле не обнаружен.

>

>

--------------------------------------------

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Evgencheg]

Да уж.....

"Malwarebytes' " много чего нашёл!

Я бы даже, наверное, сказал бы черезчур перестраховывается с подозрительными!

Пока не выбирал чего удалить/чего оставить, но вот эти файлы оставил бы:

------------------------------------------------------

-> c:\Distrib\your uninstaller! 2008 pro\KEYGEN.EXE (Trojan.Dropper.PGen)

 

-> c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\utilities\WinUDA.exe (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\utilities\regworkshop\Patch.exe (RiskWare.Tool.CK)

 

-> c:\program files\totalcommanderdl\utilities\SFX Tool\Upack.exe (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\utilities\WinUpack\Upack.exe (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\utilities\WinUpack\winupacke.exe (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\utilities\WinUpack\winupackr.exe (Malware.Packer.Gen)

 

-> c:\program files\totalcommanderdl\Plugins\exe\AkelPad\akelfiles\Plugs\Scripts.dll (Trojan.Agent.Gen)

----------------------------------------------------------------------------------------

остальные удалил бы.

?

mbam_log_2011_02_17__12_57_01_.txt

[Roman_Five]

Удалите в MBAM:

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (Hijack.Homepage) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\documents and settings\Женька\doctorweb\quarantine\ewtj.pif (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\hnocfs.exe (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\mikgy.pif (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\qkajg.pif (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\vtgmjo.pif (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\vtrw.exe (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\Женька\doctorweb\quarantine\ydiifw.pif (Malware.Packer.Gen) -> No action taken.
...
c:\WINDOWS\system32\T36gUnv.exe (Heuristics.Shuriken) -> No action taken.
c:\WINDOWS\system32\5kZ3idq.exe (Heuristics.Shuriken) -> No action taken.
c:\documents and settings\Женька\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

 

а затем деинсталлируйте и сам MBAM

[Evgencheg]

Так и сделал!

 

Далее был установлен "Антивирус Касперского".

 

 

Думаю не лишним будет подытожить очередными

(надеюсь финальными) логами:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

(надеюсь финальными)

правильно надеетесь