подозрение на заражение

[shurik_00]

Здравствуйте, прошу проверить мой нетбук, мне кажется с ним не все в порядке...

 

Очень долго загружается нетбук (время до загрузки рабочего стола иногда доходит до 2 минут). Иногда в гуглхроме открываются левые сайты... У меня установлен антивирус Аваст, сканирование ничего не дает, вирусов не находит.

 

Правила раздела прочитал, отчеты прикрепляю

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

Здравствуйте

 

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\fufouwap.exe','');
QuarantineFile('C:\WINDOWS\system32\zoufommouluw.exe','');
QuarantineFile('C:\WINDOWS\system32\jotourusouc.exe','');
QuarantineFile('C:\WINDOWS\system32\varyzad.exe','');
QuarantineFile('C:\windows\system32\system.exe','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('c:\program files\hp\hpbtwd.exe','');
QuarantineFile('Finishing DriverPacks Installation','');
DeleteFile('C:\WINDOWS\system32\fufouwap.exe');
DeleteFile('C:\WINDOWS\system32\zoufommouluw.exe');
DeleteFile('C:\WINDOWS\system32\jotourusouc.exe');
DeleteFile('C:\WINDOWS\system32\varyzad.exe');
DeleteFile('C:\windows\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hoorufa');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','couwegou');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Services');
DeleteService('ajwa3iaaatia');
DeleteService('edep9oe1');
ExecuteSysClean;
ExecuteRepair(1 );
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Niooiee@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Run: [couwegou] C:\WINDOWS\system32\varyzad.exe
O4 - HKLM\..\Run: [hoorufa] C:\WINDOWS\system32\jotourusouc.exe
O4 - HKLM\..\Run: [Services] C:\windows\system32\system.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [Services] C:\windows\system32\system.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (есть будет). Дожидаетесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме

 

c:\program files\hp\hpbtwd.exe 
C:\WINDOWS\system32\drivers\Haspnt.sys

Ссылки на результат проверки прикрепите к вашему ответу

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+ Повторите логи AVZ

 

Важно!

 >>  Разрешен автозапуск с HDD
>>  Разрешен автозапуск с сетевых дисков
>>  Разрешен автозапуск со сменных носителей

 

Это большая уязвимость для вашей системы, поэтому можете выполнить скрипт для отключения автозапуска с различных носителей (автозапуск с CD останется).

 

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

Жду ваших отчетов

Изменено 28 апреля, 2011 пользователем Tiare

[shurik_00]

Все сделал, автозапуск тоже решил отключить. Нетбук загружаться стал заметно быстрее)))

 

Карантин отправил, ответ пришел такой

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:

https://my.kaspersky.com/ru/support/viruslab.

Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

hpbtwd.exe

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

Вот ссылки на проверку файлов

 

http://www.virustotal.com/file-scan/report...8074-1304062144

 

http://www.virustotal.com/file-scan/report...2c8e-1304062209

 

вот отчеты

mbam_log_2011_04_29__01_38_01_.txt

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

Что скажете?

[Tiare]

shurik_00,

 

удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Заражённые файлы:
c:\documents and settings\HP\Desktop\vegas-pro-8\vegas-pro-8.0c\vegas-pro-8.0c\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\documents and settings\HP\application data\wiaservg.log (Malware.Trace) -> No action taken.

 

Удалять кейген или нет - это на ваше усмотрение.

 

Подготовьте новые логи по правилам

 

 

 

Проблемы какие-то остались у вас?

[shurik_00]

Все сделал. Кряк удалил вместе с программой. Как думаете, мне нужно ставить другой антивирус? Что посоветуете?

 

 

Да вроде нет больше проблем))) Спасибо!

 

 

mbam_log_2011_05_01__23_02_56_.txt

mbam_log_2011_05_02__00_17_32_.txt

hijackthis2.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

shurik_00, по логам все чисто.

 

Обязательно деинсталлируйте Malwarebytes' Anti-Malware!

 

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

Обязательно!

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

Если Вы хотите избежать нового заражения, то желательно:

- не работать за компьютером с правами администратора;

- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность;

- регулярно устанавливать обновления windows и обновлять антивирусные базы;

- можно периодически проверять систему антивирусными утилитами CureIT и AVPTool.

 

После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения.

 

 

P.S. у вас было заражение почтовым червем, поэтому рекомендую не открывать вложения в письмах от неизвестных вам адресатов. Если же письмо пришло от друга, а вы его не ждали, или если очень интересно посмотреть вложение, то сначала сохраните вложение на жесткий диск, просканируйте антивирусом и только потом открывайте.

 

Что касается смены антивируса, то однозначно нужно устанавливать комплексный продукт, т.е. антивирус + проактивная защита + файервол. Только антивирус не обеспечивает полноценную защиту, если ваш компьютер подключен к сети интернет.

Изменено 2 мая, 2011 пользователем Tiare

[shurik_00]

Еще раз спасибо.