Подозрение на вирусы

[Toster]

Здравствуйте.

Проблема, по симптомам похожая на ту, что в топе.

 

Соотведствующие логи:

 

virusinfo_syscure.zip

 

virusinfo_syscheck.zip

 

hijackthis.log

 

подскажите чем слечить пожалуйсто)

Сообщение от модератора Mark D. Pearlstone

Сообщение выделено из темы.

[zirreX]

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('E:\WINDOWS\system32\ResidentHook.dll','');
QuarantineFile('E:\Documents and Settings\Admin\Application Data\lsass.exe','');
QuarantineFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('E:\WINDOWS\system32\kyfup.exe','');
QuarantineFile('E:\WINDOWS\system32\lijyquuz.exe','');
QuarantineFile('E:\WINDOWS\explorer.exe:userini.exe','');
DeleteFile('E:\WINDOWS\explorer.exe:userini.exe');
DeleteFile('E:\WINDOWS\system32\lijyquuz.exe');
DeleteFile('E:\WINDOWS\system32\kyfup.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe');
DeleteFile('E:\Documents and Settings\Admin\Application Data\lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSNUpdateServices');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Local Security Authentication Server');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteService('i7beoa53ipyteue');
DeleteService('e2i67x1xiazku');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('e2i67x1xiazku');
BC_DeleteSvc('i7beoa53ipyteue');
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

Пофиксите в hijackthis

 

F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKCU\..\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe

 

Сделайте новые логи AVZ.

 

• Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено 26 июня, 2011 пользователем zirreX

[Toster]

Присылаю новые данные стандартных сканов:

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

 

отчет с hijackthis:

hijackthis.log

 

после работы RSIT:

log.txt

info.txt

 

и Malwarebytes' Anti-Malware:

mbam_log_2011_06_26__23_29_10_.txt

 

а от Касперского пока только сообщение от бота:

 

"Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями.

bcqr00001.dat,

bcqr00002.dat,

ResidentHook.dll"

 

как будут еще вести, сразу напишу.

 

Заранее благодарен.

[Roman_Five]

проверьте на virustotal.com файл:

e:\WINDOWS\system32\eventvwr.exe

ссылку на результат проверки приложите

 

Удалите в MBAM ТОЛЬКО следующие объекты:

e:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
e:\documents and settings\Admin\application data\wimknrncds.txt (Malware.Trace) -> No action taken.
e:\documents and settings\Admin\secupdat.dat (Worm.Autorun) -> No action taken.
e:\program files\mozilla firefox\0.36920314800112675.exe (Exploit.Dropper) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

заниматься самолечением чревато проблемами для PC.

прикрепите к следующему сообщению файлы:

E:\TDSSKiller.2.5.5.0_26.06.2011_22.11.35_log.txt
E:\ComboFix.txt

[Toster]

http://www.virustotal.com/file-scan/report...9367-1309160750

 

mbam_log_2011_06_27__11_46_35_2.txt

 

TDSSKiller.2.5.5.0_27.06.2011_11.53.31_log.txt

 

ComboFix.txt

[Roman_Five]

Toster,

деинсталлируйте MBAM

 

запустите TDSSKiller

при обнаружении

\Device\Harddisk0\DR0 - detected Rootkit.Win32.BackBoot.gen

выберите лечить.

 

заархивируйте содержимое папки

E:\TDSSKiller_Quarantine

с паролем virus.

Отправьте на проверку полученный архив через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

проверьте на virustotal.com:

e:\windows\system32\3C72.tmp
e:\windows\system32\dnssd.dll
e:\windows\system32\jdns_sd.dll
e:\windows\system32\dnssdX.dll
e:\windows\system32\dns-sd.exe
e:\program files\VKLife_1.9.1.exe

6 ссылок на результаты проверки приложите

 

что в этих папках?

e:\documents and settings\Admin\Application Data\AltUpload
e:\documents and settings\Admin\Application Data\KYL

 

восстановите с дистрибутива файл (инструкция)

e:\windows\System32\sfcfiles.dll

[Toster]

Неполучается вылечить файл лечить файл. только карантин или восстановить:

 

Вот ссылки проверянных файлов.

к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету.

http://www.virustotal.com/file-scan/report...057c-1309166823

http://www.virustotal.com/file-scan/report...37de-1309167649

http://www.virustotal.com/file-scan/report...f26d-1309167757

http://www.virustotal.com/file-scan/report...3575-1309167916

http://www.virustotal.com/file-scan/report...b966-1309168071

 

Сделал скан, правда не вылечив Rootkit.Win32.BackBoot.gen в котором подозревался \Harddisk\DR0

бот Касперского заинтересовался файлами

object.ini,

object.ini,

object.ini,

object.ini

такая реакция была вызванна .

 

Содержание папок:

e:\documents and settings\Admin\Application Data\AltUpload

e:\documents and settings\Admin\Application Data\KYL

[Roman_Five]

Неполучается вылечить файл лечить файл. только карантин или восстановить:

пока воздержитесь от восстановления

 

к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету.

удалим скриптом:

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
e:\windows\system32\3C72.tmp

Driver::

NetSvc::

Folder::
e:\documents and settings\Admin\Application Data\AltUpload
e:\documents and settings\Admin\Application Data\KYL

Registry::

FileLook::

DirLook::

RegLock::
[HKEY_USERS\S-1-5-21-854245398-1004336348-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Yury.Parshin]

Здравствуйте. Выполните проверку обновленной версией утилиты TDSSKiller - 2.5.6. Она уже выложена на сайте и приложена в аттаче.

TDSSKiller.rar

[Toster]

провел удаление скриптом, затем проверил в TDSSKiller - 2.5.6. Утилита нашла все тот же \Device\Harddisk0\DR0 и новый "вредоностный объект", который предложила вылечить. после излечения, при повторной проверке с помощью нее же оказалось, что пропали обе угрозы. отчеты прилагаю.

браузер работает нормально! огромнейшее спасибо за помощь, уже собирался систему переустанавливать!

log.txt

TDSSKiller.2.5.6.0_27.06.2011_20.38.05_log.txt

TDSSKiller.2.5.6.0_27.06.2011_20.43.31_log.txt

[Roman_Five]

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

не выполнили:

восстановите с дистрибутива файл (инструкция)

Код

e:\windows\System32\sfcfiles.dll

это важно!

[Toster]

Все выполнил.

Еще раз спасибо!