Перейти к содержанию

Подозрение на вирусы


Рекомендуемые сообщения

Здравствуйте.

Проблема, по симптомам похожая на ту, что в топе.

 

Соотведствующие логи:

 

virusinfo_syscure.zip

 

virusinfo_syscheck.zip

 

hijackthis.log

 

подскажите чем слечить пожалуйсто)

Сообщение от модератора Mark D. Pearlstone
Сообщение выделено из темы.
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\ResidentHook.dll','');
QuarantineFile('E:\Documents and Settings\Admin\Application Data\lsass.exe','');
QuarantineFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('E:\WINDOWS\system32\kyfup.exe','');
QuarantineFile('E:\WINDOWS\system32\lijyquuz.exe','');
QuarantineFile('E:\WINDOWS\explorer.exe:userini.exe','');
DeleteFile('E:\WINDOWS\explorer.exe:userini.exe');
DeleteFile('E:\WINDOWS\system32\lijyquuz.exe');
DeleteFile('E:\WINDOWS\system32\kyfup.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe');
DeleteFile('E:\Documents and Settings\Admin\Application Data\lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSNUpdateServices');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Local Security Authentication Server');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('i7beoa53ipyteue');
DeleteService('e2i67x1xiazku');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('e2i67x1xiazku');
BC_DeleteSvc('i7beoa53ipyteue');
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

Пофиксите в hijackthis

 

F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKCU\..\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe

 

Сделайте новые логи AVZ.

 

• Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено пользователем zirreX
Ссылка на комментарий
Поделиться на другие сайты

Присылаю новые данные стандартных сканов:

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

 

отчет с hijackthis:

hijackthis.log

 

после работы RSIT:

log.txt

info.txt

 

и Malwarebytes' Anti-Malware:

mbam_log_2011_06_26__23_29_10_.txt

 

а от Касперского пока только сообщение от бота:

 

"Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями.

bcqr00001.dat,

bcqr00002.dat,

ResidentHook.dll"

 

как будут еще вести, сразу напишу.

 

Заранее благодарен.

Ссылка на комментарий
Поделиться на другие сайты

проверьте на virustotal.com файл:

e:\WINDOWS\system32\eventvwr.exe

ссылку на результат проверки приложите

 

Удалите в MBAM ТОЛЬКО следующие объекты:

e:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
e:\documents and settings\Admin\application data\wimknrncds.txt (Malware.Trace) -> No action taken.
e:\documents and settings\Admin\secupdat.dat (Worm.Autorun) -> No action taken.
e:\program files\mozilla firefox\0.36920314800112675.exe (Exploit.Dropper) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

заниматься самолечением чревато проблемами для PC.

прикрепите к следующему сообщению файлы:

E:\TDSSKiller.2.5.5.0_26.06.2011_22.11.35_log.txt
E:\ComboFix.txt

Ссылка на комментарий
Поделиться на другие сайты

Toster,

деинсталлируйте MBAM

 

запустите TDSSKiller

при обнаружении

\Device\Harddisk0\DR0 - detected Rootkit.Win32.BackBoot.gen

выберите лечить.

 

заархивируйте содержимое папки

E:\TDSSKiller_Quarantine

с паролем virus.

Отправьте на проверку полученный архив через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

проверьте на virustotal.com:

e:\windows\system32\3C72.tmp
e:\windows\system32\dnssd.dll
e:\windows\system32\jdns_sd.dll
e:\windows\system32\dnssdX.dll
e:\windows\system32\dns-sd.exe
e:\program files\VKLife_1.9.1.exe

6 ссылок на результаты проверки приложите

 

что в этих папках?

e:\documents and settings\Admin\Application Data\AltUpload
e:\documents and settings\Admin\Application Data\KYL

 

восстановите с дистрибутива файл (инструкция)

e:\windows\System32\sfcfiles.dll

Ссылка на комментарий
Поделиться на другие сайты

Неполучается вылечить файл лечить файл. только карантин или восстановить:

post-22027-1309169727_thumb.jpg

 

Вот ссылки проверянных файлов.

к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету.

http://www.virustotal.com/file-scan/report...057c-1309166823

http://www.virustotal.com/file-scan/report...37de-1309167649

http://www.virustotal.com/file-scan/report...f26d-1309167757

http://www.virustotal.com/file-scan/report...3575-1309167916

http://www.virustotal.com/file-scan/report...b966-1309168071

 

Сделал скан, правда не вылечив Rootkit.Win32.BackBoot.gen в котором подозревался \Harddisk\DR0

бот Касперского заинтересовался файлами

object.ini,

object.ini,

object.ini,

object.ini

такая реакция была вызванна .

 

Содержание папок:

e:\documents and settings\Admin\Application Data\AltUpload

post-22027-1309170048_thumb.jpg

e:\documents and settings\Admin\Application Data\KYL

post-22027-1309170054_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Неполучается вылечить файл лечить файл. только карантин или восстановить:

пока воздержитесь от восстановления

 

к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету.

удалим скриптом:

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
e:\windows\system32\3C72.tmp

Driver::

NetSvc::

Folder::
e:\documents and settings\Admin\Application Data\AltUpload
e:\documents and settings\Admin\Application Data\KYL

Registry::

FileLook::

DirLook::

RegLock::
[HKEY_USERS\S-1-5-21-854245398-1004336348-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

post-9410-1309178608.gif

Ссылка на комментарий
Поделиться на другие сайты

провел удаление скриптом, затем проверил в TDSSKiller - 2.5.6. Утилита нашла все тот же \Device\Harddisk0\DR0 и новый "вредоностный объект", который предложила вылечить. после излечения, при повторной проверке с помощью нее же оказалось, что пропали обе угрозы. отчеты прилагаю.

браузер работает нормально! огромнейшее спасибо за помощь, уже собирался систему переустанавливать!

log.txt

TDSSKiller.2.5.6.0_27.06.2011_20.38.05_log.txt

TDSSKiller.2.5.6.0_27.06.2011_20.43.31_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

не выполнили:

восстановите с дистрибутива файл (инструкция)

Код

e:\windows\System32\sfcfiles.dll

это важно!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Gramm
      От Gramm
      Здраствуйте, может я параною, но сегодня я узнал, что я не могу на диске C или D, создавать какие либо файлы, кроме папки.


       
      1)До этого, часто отключал антивирус, что бы найти читы на любимую игру.
      Вроде как пару недель назад, заметил как быстро открылась консоль и закрылась
      2) 
      Еще постояно выскакивает 2 процес браузера с рекламой, хотя стоит adblocker
       
      Один из них вот этот: https://www.virustotal.com/gui/file/b3988010d5fee487462c96dd3d457af96c4caccb52d0dc9d2b7a9c1e414ba683/detection
      Можете помочь глянуть, что там слышно в логах
      CollectionLog-2024.08.22-13.45.zip
×
×
  • Создать...