Неубиваемый

[Gelia]

Пользуемся антивирусом Касперского постоянно, где то около недели назад завелось жывотное под названием Email-worm.Win32.Brontox.jx

 

Вылезает в диких количествах, вроде как убивается антивирусом, но с завидной регулярностью два-три раза в день появляется снова. Полная проверка всех дисков зависала где то в районе 60% и в таком виде висела по 18-20 часов, при попытке закрыть приложение огрызалось что приложение блокировано системой и работу завершить не может, спасала тока перезагрузка. Запустили проверку в безопасном режиме, вроде как прошла - но после первой же перезагрузки вирусы снова появились, так же как собснна и проблеммы с зависанием Антивируса на проверке. Поставила временную версию KIS - в первый же день несколько раз выдавались сообщения о сетевых атаках с разных IP. Ну и собснна вирус так и вылезает)

 

Так же пока прокручивался AVZ в логе было сообщение о каком то трояне.

 

Собснна логи прилагаются.

 

Помогите пожалуйста

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте автокарантин на форум. Файл удалён.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

закройте временно сетевой доступ к своей папке Obmen на I диске.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
SetServiceStart('ws2_32sik', 4);
SetServiceStart('systemntmi', 4);
SetServiceStart('securentm', 4);
SetServiceStart('port135sik', 4);
SetServiceStart('acpi32', 4);
SetServiceStart('amd64si', 4);
SetServiceStart('ati64si', 4);
SetServiceStart('fips32cup', 4);
SetServiceStart('i386si', 4);
SetServiceStart('nicsk32', 4);
SetServiceStart('netsik', 4);
QuarantineFile('C:\EDW\C#\CD для учебника VisualC#_на примерах\12-CLOCK\1\bin\Debug\CLOCK.exe','');
QuarantineFile('C:\WINDOWS\Installer\2bb58.msi','');
QuarantineFile('c:\WINDOWS\system32\sqlncli.dll','');
QuarantineFile('UnHackMe Rootkit Check','');
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\Documents and Settings\agsi.D790E13398CE4ED\Рабочий стол\Lineage II Gracia\system\npkcrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteService('ws2_32sik');
DeleteService('systemntmi');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('acpi32');
DeleteService('amd64si');
DeleteService('ati64si');
DeleteService('fips32cup');
DeleteService('i386si');
DeleteService('nicsk32');
DeleteService('netsik');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Gelia]

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Все сделала. Вирус вылезает, но уже не в диких количествах, правда вылезает часто - сегодня обнаружено 24 всего,посл раз появлялся 5 минут назад в трех позициях, все три в папке Kaspersky Lab, создает в каждой из подпапок файл с названием дублирующим название папки + в основной папке создает файл DATA VIKTORIA.exe

 

Сегодняшние логи прилагаются

mbam_log_2011_06_14__00_32_07_.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Удалите в МВАМ только указанные строки

Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Заражённые папки:
c:\program files\bitaccelerator (Trojan.BHO) -> No action taken.
c:\program files\connectionservices (Trojan.BHO) -> No action taken.
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражённые файлы:
c:\program files\гб\hb0995\fordelete.exe (Malware.packer) -> No action taken.
c:\program files\гб\hb0995\Labirint.exe (Worm.Wangy) -> No action taken.
c:\system volume information\_restore{8d4a8f00-e1d8-4c54-ad81-a5b88f59d608}\RP505\A0141914.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{8d4a8f00-e1d8-4c54-ad81-a5b88f59d608}\RP505\A0141909.dll (Malware.Gen) -> No action taken.
c:\system volume information\_restore{8d4a8f00-e1d8-4c54-ad81-a5b88f59d608}\RP514\A0148984.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{8d4a8f00-e1d8-4c54-ad81-a5b88f59d608}\RP514\A0148993.dll (Malware.Gen) -> No action taken.
c:\documents and settings\agsi.d790e13398ce4ed\file0.exe (Trojan.Agent) -> No action taken.
c:\program files\connectionservices\uninstall.exe (Trojan.BHO) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.

 

Установите все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

[Gelia]

Удалила еще вчера Правда вирусы все равно откуда то вылезают, малыми порциями.

 

Ответ от вирусной лаборатории на загруженный файл карантина:

 

Здравствуйте,

 

2bb58.msi_,

bcqr00001.dat,

bcqr00001.ini,

bcqr00002.dat,

bcqr00002.ini,

bcqr00003.dat,

bcqr00003.ini,

bcqr00004.dat,

bcqr00004.ini,

bcqr00005.ini,

bcqr00006.ini,

bcqr00007.ini,

bcqr00008.ini,

bcqr00009.ini,

bcqr00010.ini,

bcqr00011.ini,

bcqr00012.ini,

bcqr00013.ini,

bcqr00014.ini,

bcqr00015.ini,

bcqr00016.ini,

bcqr00017.ini,

bcqr00018.ini,

bcqr00019.ini,

bcqr00020.ini,

bcqr00021.ini,

bcqr00022.ini,

bcqr00023.ini,

bcqr00024.ini,

bcqr00025.ini,

bcqr00026.ini,

bcqr00027.ini,

bcqr00028.ini,

bcqr00029.ini,

bcqr00030.ini,

bcqr00031.ini,

bcqr00032.ini,

bcqr00033.ini,

bcqr00034.ini,

CLOCK.exe_

 

Вредоносный код в файлах не обнаружен.

 

С уважением,

Вирусный аналитик

 

Перепроверила Malawarebytes'ом, новый лог приложен.

mbam_log_2011_06_14__20_42_38_.txt

[Roman_Five]

Правда вирусы все равно откуда то вылезают, малыми порциями.

если Вы не выполнили данную рекомендацию

закройте временно сетевой доступ к своей папке Obmen на I диске.

то это вполне закономерно...

 

покажите лог обнаруженных угроз в KIS

[Gelia]

Доступ к диску I сразу закрыла сразу как сказали

 

Дурацкий вопрос - как лог поиска уязвимостей выложить из KIS? Принт скрин то ли не работает то ли просто не могу найти куда скриншоты упали :/

 

Кстати говоря сегодня вирусы вылезать перестали, посл раз были вчера часов в восемь вечера,так же как и сетевая атака последняя.

 

PS: вру,сегодня две атаки еще было.

Изменено 15 июня, 2011 пользователем Gelia

[Roman_Five]

как лог поиска уязвимостей выложить из KIS?

требовался

лог обнаруженных угроз в KIS

главное окно - отчёты - подробный отчёт - обнаруженные угрозы - сохранить (названия могут немного отличаться - нет под рукой 2011 версии).

 

деинсталлируйте MBAM

[Gelia]

МBAM деинсталлировала.

Жывотные где то погуляли и снова вернулись

 

Кстати в логе почему то не все прописаны которые были, всего по отчету за сегодня 108 вирусов обнаружено.

лог_KIS.txt

Изменено 15 июня, 2011 пользователем Gelia

[Roman_Five]

Gelia,

покажите скриншот следующего окна

пуск - панель управления - администрирование - управление компьютером - служебные - общие папки - общие ресурсы

 

судя по всему, у Вас регулярно инфицируются папки с общим доступом. в таком случае первоисточник заразы - в сети. его и надо будет лечить.

[Gelia]

Общий доступ для ноута сделали, у нас инет к нему через основной комп, и фильмы чтобы можно было смотреть не перекачивая Видимо придется делать это как то по другому.

 

Изменено 15 июня, 2011 пользователем Gelia

[Gelia]

Вобщем,после закрытия доступа ко всему доступному - вроде за сегодня,тьфу тьфу тьфу, ни одна зараза не вылезла.

 

Будем надеяться, и не вылезет больше,всем огромное спасибо за помощь!

[Roman_Five]

Общий доступ для ноута сделали, у нас инет к нему через основной комп

честно говоря, я не понял какой компьютер какой, но для проверки сделайте аналогичные логи на ВТОРОМ Вашем компьютере и создайте новую тему.