Подозрение на заражение

[Евгений Малинин]

Всё время отваливается Интернет + что-то пытается пробиться по 2001 порту. Прикладываю необходимые логи.

 

В системе было заражение: Net-Worm.Win32.Mytob.gtg

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\datacardservice\dcservice.exe');
StopService('DCService.exe');
QuarantineFile('C:\ProgramData\DatacardService\DCService.exe','');
DeleteFile('%userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\PokerStars.lnk ');
DeleteFileMask('C:\Program Files\PokerStars\','*.*',True);
DeleteDirectory('C:\Program Files\PokerStars\');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Евгений Малинин]

При выполнении скрипта AVZ падает:

 

Сигнатура проблемы:

Имя события проблемы: APPCRASH

Имя приложения: avz.exe

Версия приложения: 4.35.0.1

Отметка времени приложения: 2a425e19

Имя модуля с ошибкой: advapi32.dll

Версия модуля с ошибкой: 6.1.7600.16385

Отметка времени модуля с ошибкой: 4a5bd97e

Код исключения: c0000096

Смещение исключения: 00022a53

Версия ОС: 6.1.7600.2.0.0.256.1

Код языка: 1049

Дополнительные сведения 1: c396

Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449

Дополнительные сведения 3: c396

Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449

 

Логи MBAM прикладываю.

mbam_log_2011_02_28__03_21_54_.zip

[snifer67]

Уберите строчки из скрипта:

SearchRootkit(true, true);
SetAVZGuardStatus(True);

[Евгений Малинин]

скрипт выполнился, но только после того, как я удалил ещё и:

TerminateProcessByName('c:\programdata\datacardservice\dcservice.exe');

 

ЗЫ Данного процесса в запущенных не было.

 

Полученный ответ сообщите в этой теме.

Здравствуйте,

 

В присланных Вами файлах не найдено ничего вредоносного.

[Roman_Five]

скрипт выполнился, но только после того, как я удалил ещё и:

странно.

 

для начала попробуем обойтись без хирургического вмешательства:

проверьте системный раздел скандиском.

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

запустите для него дефрагментацию.

пуск-выполнить-defrag C: /v

 

проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

[Евгений Малинин]

пуск-выполнить-chkdsk C: /v /f /r /x

нажать Y

перезагрузиться. подождать.

Ошибок не обнаружено

 

запустите для него дефрагментацию.

пуск-выполнить-defrag C: /v

Выполнил

 

проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить-sfc /scannow

Повреждений не обнаружено.

 

SP1 установил...

 

При выполнении скрипта со строчкой:

TerminateProcessByName('c:\programdata\datacardservice\dcservice.exe');

всё равно происходит зависание AVZ:

[Roman_Five]

проблема всё ещё актуальна?

[Евгений Малинин]

да

[Roman_Five]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

и я смотрю, PokerStars Вы не удалили...

данное ПО относятся к потенциально опасному,как и все подобные развлекательные "приблуды".

 

с вероятностью 99,99% Ваши проблемы не вызваны вирусным заражением.

либо "подгуливает" Windows (что мало вероятно), либо конфликт ПО, либо дело в модеме/провайдере.

проблемы с Windows (если будут) покажет лог Combofix, ПО для покера рекомендую деинсталлировать, линию и модем проверить с помощью стороннего ноутбука.