Заражение :(

[PhantoMasteR101]

Здраствуйте. Очень нужна ваша помощь. Дело в том, что после загрузки системы через несколько минут выходит ошибка svchost.exe после которой сначала выключается звук, а после компьютер и вовсе перестает реагировать на внешних раздражителей. Также во всех браузерах частенько (а точнее всегда) при открытии или переходе страниц выходит ошибка типа "Соединение закрыто удаленным доступом" или "Сервер перенаправил вас на несуществующий адрес. Обратитесь за помощью к веб-мастеру". Это ужасно раздражает. При загрузке антивирус ругается на C:\x.bat и предлагает лечение с перезагрузкой, идет лечение, перезагрузка, и никаких изменений, по прежднему тот же вирус Trojan.BAT.KillAV.nd . Заметил что при загрузке системы этот файл создается, а через несколько минут он какбэ самоуничтожается. Незнаю, это ли нужно, скопировал протокол из утилиты AVZ. Заранее спасибо.

Текстовый_документ.txt

[Mark D. Pearlstone]

Выполните логи по правилам http://forum.kasperskyclub.ru/index.php?showtopic=1698

[PhantoMasteR101]

Вот.

virusinfo_syscheck.xml

virusinfo_syscheck.htm

virusinfo_syscheck.zip

[Roman_Five]

ещё нужен virusinfo_syscure.zip и отчёт HiJackThis

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\repsvc.exe');
TerminateProcessByName('c:\windows\ggdrive32.exe');
TerminateProcessByName('c:\documents and settings\all users\application data\datacardservice\dcservice.exe');
StopService('DCService.exe');
QuarantineFile('C:\Program Files\hfs\hfs.exe','');
QuarantineFile('C:\WINDOWS\system32\repsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\82.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\78.exe','');
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\74.exe','');
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\72.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\66.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\62.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\56.exe','');
QuarantineFile('C:\WINDOWS\system32\55.exe','');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\53.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\51.exe','');
QuarantineFile('C:\WINDOWS\system32\50.exe','');
QuarantineFile('C:\WINDOWS\system32\48.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\45.exe','');
QuarantineFile('C:\WINDOWS\system32\44.exe','');
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\35.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\26.exe','');
QuarantineFile('C:\WINDOWS\system32\25.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\23.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\20.exe','');
QuarantineFile('C:\WINDOWS\system32\18.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\14.exe','');
QuarantineFile('C:\WINDOWS\system32\13.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\03.exe','');
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\mstask.dll','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe',' ');
QuarantineFile('c:\windows\repsvc.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
QuarantineFile('c:\documents and settings\all users\application data\datacardservice\dcservice.exe','');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\03.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\13.exe');
DeleteFile('C:\WINDOWS\system32\14.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\18.exe');
DeleteFile('C:\WINDOWS\system32\20.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\23.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\25.exe');
DeleteFile('C:\WINDOWS\system32\26.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\31.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\53.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
DeleteFile('C:\WINDOWS\system32\55.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\72.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\82.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\WINDOWS\system32\repsvc.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\repsvc.exe');
DeleteFile('C:\Program Files\hfs\hfs.exe');
DeleteFileMask('C:\Program Files\hfs\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\hfs\ ',' ');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\windows\ggdrive32.exe');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

[PhantoMasteR101]

Скрипт выполнил, файл отправил. Вот логи. А что за virusinfo_syscure.zip и где его взять?

hijackthis.log

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

[Mark D. Pearlstone]

А что за virusinfo_syscure.zip и где его взять?

Пункт 8 правил раздела прочтите.

[Roman_Five]

PhantoMasteR101

Пофиксите в HiJackThis:

O4 - HKLM\..\Run: [Remote Registry Service] repsvc.exe

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить SP3 для Windows XP

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[PhantoMasteR101]

Скачал программу, просканировался, программа нашла 40 зараженный файлов . Отчет прилагается.

mbam_log_2011_02_26__17_39_42_.txt

 

Вот что пришло с лаборатории касперского.

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:

https://my.kaspersky.com/ru/support/viruslab.

Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

01.exe,

41.exe,

82.exe,

bcqr00011.dat,

bcqr00012.dat,

bcqr00071.dat,

bcqr00072.dat,

bcqr00079.dat,

bcqr00080.dat,

bcqr00117.dat,

bcqr00118.dat,

bcqr00123.dat,

bcqr00124.dat,

ggdrive32.exe - Trojan.Win32.Menti.cmr

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

07.exe,

13.exe,

14.exe,

20.exe,

26.exe,

28.exe,

32.exe,

40.exe,

50.exe,

51.exe,

52.exe,

53.exe,

55.exe,

56.exe,

64.exe,

68.exe,

73.exe,

75.exe,

76.exe,

78.exe,

bcqr00127.dat,

bcqr00128.dat,

bcqr00129.dat,

bcqr00130.dat,

msdtc.exe,

mstask.dll,

repsvc.exe,

repsvc_0.exe

 

Файлы в процессе обработки.

 

bcqr00135.dat,

bcqr00136.dat,

dcservice.exe

 

Вредоносный код в файлах не обнаружен.

 

hfs.exe - not-a-virus:Server-FTP.Win32.SFH.as

 

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru%#'72'#%

[snifer67]

Установите SP3(может потребоваться активация)+все последующие обновления

 

Удалите в mbam

Заражённые процессы в памяти:
c:\WINDOWS\ggdrive32.exe (Trojan.FakeAlert) -> 3576 -> No action taken.

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} (Malware.Packer.Gen) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.FakeAlert) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.FakeAlert) -> Value: Microsoft Driver Setup -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\WINDOWS\ggdrive32.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8LGUGYE2\7[1].exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\C2Q0IJCX\7[1].exe (Trojan.FakeAlert) -> No action taken.
c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> No action taken.
c:\program files\Maxthon\uninstall_maxthon.exe (Malware.Packer.Gen) -> No action taken.
c:\windows\system32\05.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\12.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\CDClose.dll (Malware.Packer.Gen) -> No action taken.
c:\windows\system32\18.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\20.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\24.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\33.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\36.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\37.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\40.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\42.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\43.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\44.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\46.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\48.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\72.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\76.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\81.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\82.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\83.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\85.exe (Trojan.FakeAlert) -> No action taken.
c:\windows\system32\86.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.

Сделайте новый лог mbam

[Roman_Five]

PhantoMasteR101

в рекомендациях перед тем, как сделать логи MBAM, было предложено установить на виндовс 3 сервиспак и иже с ними.

Вы этого не выполнили - и снова у Вас то же заражение.

 

скачайте http://www.microsoft.com/downloads/details...;displayLang=ru

и http://dimadr.ru/critical-pre-sp4-rus/

 

СРАЗУ после того как почистите в MBAM, установите Sp3 и preSP4

 

сделайте новые логи по правилам и логи MBAM

Изменено 26 февраля, 2011 пользователем Roman_Five

[PhantoMasteR101]

Да... Если что не так-извените. Я полный ноль во всяких там вирусах и троянах и как их лечить. Поставил SP3 на загрузку. Завтро должно скачатся. Думаю смысла делать логов нету, поэтому буду ждать загрузки sp3.

в рекомендациях перед тем, как сделать логи MBAM, было предложено установить на виндовс 3 сервиспак и иже с ними.

Да. Простите, думал это не так важно.

[Roman_Five]

PhantoMasteR101

утром

СРАЗУ после того как почистите в MBAM, установите Sp3 и preSP4

[PhantoMasteR101]

Извените что долго не отвечал. Вот все логи. Система вроде-бы работает нормально. Установил sp3.

logi.rar

[Roman_Five]

чисто.

вот это не выполнили:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

[PhantoMasteR101]

Ок. Огромное спасибо! А Internet Explorer обязательно нужно обновлять? Я пользуюсь Opera.

Изменено 1 марта, 2011 пользователем PhantoMasteR101