Toster 0 Опубликовано 26 июня, 2011 Share Опубликовано 26 июня, 2011 Здравствуйте. Проблема, по симптомам похожая на ту, что в топе. Соотведствующие логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log подскажите чем слечить пожалуйсто) Сообщение от модератора Mark D. Pearlstone Сообщение выделено из темы. Цитата Ссылка на сообщение Поделиться на другие сайты
zirreX 10 Опубликовано 26 июня, 2011 Share Опубликовано 26 июня, 2011 (изменено) Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; QuarantineFile('E:\WINDOWS\system32\ResidentHook.dll',''); QuarantineFile('E:\Documents and Settings\Admin\Application Data\lsass.exe',''); QuarantineFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('E:\WINDOWS\system32\kyfup.exe',''); QuarantineFile('E:\WINDOWS\system32\lijyquuz.exe',''); QuarantineFile('E:\WINDOWS\explorer.exe:userini.exe',''); DeleteFile('E:\WINDOWS\explorer.exe:userini.exe'); DeleteFile('E:\WINDOWS\system32\lijyquuz.exe'); DeleteFile('E:\WINDOWS\system32\kyfup.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('E:\Documents and Settings\Admin\Application Data\S-3685-5437-5687\winsrvn.exe'); DeleteFile('E:\Documents and Settings\Admin\Application Data\lsass.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSNUpdateServices'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Local Security Authentication Server'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteService('i7beoa53ipyteue'); DeleteService('e2i67x1xiazku'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('e2i67x1xiazku'); BC_DeleteSvc('i7beoa53ipyteue'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Пофиксите в hijackthis F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) O4 - HKCU\..\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] E:\WINDOWS\explorer.exe:userini.exe Сделайте новые логи AVZ. • Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. • Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Изменено 26 июня, 2011 пользователем zirreX Цитата Ссылка на сообщение Поделиться на другие сайты
Toster 0 Опубликовано 26 июня, 2011 Автор Share Опубликовано 26 июня, 2011 Присылаю новые данные стандартных сканов: virusinfo_syscheck.zip virusinfo_syscure.zip отчет с hijackthis: hijackthis.log после работы RSIT: log.txt info.txt и Malwarebytes' Anti-Malware: mbam_log_2011_06_26__23_29_10_.txt а от Касперского пока только сообщение от бота: "Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. bcqr00001.dat, bcqr00002.dat, ResidentHook.dll" как будут еще вести, сразу напишу. Заранее благодарен. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 июня, 2011 Share Опубликовано 27 июня, 2011 проверьте на virustotal.com файл: e:\WINDOWS\system32\eventvwr.exe ссылку на результат проверки приложите Удалите в MBAM ТОЛЬКО следующие объекты: e:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken. e:\documents and settings\Admin\application data\wimknrncds.txt (Malware.Trace) -> No action taken. e:\documents and settings\Admin\secupdat.dat (Worm.Autorun) -> No action taken. e:\program files\mozilla firefox\0.36920314800112675.exe (Exploit.Dropper) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. заниматься самолечением чревато проблемами для PC. прикрепите к следующему сообщению файлы: E:\TDSSKiller.2.5.5.0_26.06.2011_22.11.35_log.txt E:\ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Toster 0 Опубликовано 27 июня, 2011 Автор Share Опубликовано 27 июня, 2011 http://www.virustotal.com/file-scan/report...9367-1309160750 mbam_log_2011_06_27__11_46_35_2.txt TDSSKiller.2.5.5.0_27.06.2011_11.53.31_log.txt ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 июня, 2011 Share Опубликовано 27 июня, 2011 Toster, деинсталлируйте MBAM запустите TDSSKiller при обнаружении \Device\Harddisk0\DR0 - detected Rootkit.Win32.BackBoot.gen выберите лечить. заархивируйте содержимое папки E:\TDSSKiller_Quarantine с паролем virus. Отправьте на проверку полученный архив через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. проверьте на virustotal.com: e:\windows\system32\3C72.tmp e:\windows\system32\dnssd.dll e:\windows\system32\jdns_sd.dll e:\windows\system32\dnssdX.dll e:\windows\system32\dns-sd.exe e:\program files\VKLife_1.9.1.exe 6 ссылок на результаты проверки приложите что в этих папках? e:\documents and settings\Admin\Application Data\AltUpload e:\documents and settings\Admin\Application Data\KYL восстановите с дистрибутива файл (инструкция) e:\windows\System32\sfcfiles.dll Цитата Ссылка на сообщение Поделиться на другие сайты
Toster 0 Опубликовано 27 июня, 2011 Автор Share Опубликовано 27 июня, 2011 Неполучается вылечить файл лечить файл. только карантин или восстановить: Вот ссылки проверянных файлов. к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету. http://www.virustotal.com/file-scan/report...057c-1309166823 http://www.virustotal.com/file-scan/report...37de-1309167649 http://www.virustotal.com/file-scan/report...f26d-1309167757 http://www.virustotal.com/file-scan/report...3575-1309167916 http://www.virustotal.com/file-scan/report...b966-1309168071 Сделал скан, правда не вылечив Rootkit.Win32.BackBoot.gen в котором подозревался \Harddisk\DR0 бот Касперского заинтересовался файлами object.ini, object.ini, object.ini, object.ini такая реакция была вызванна . Содержание папок: e:\documents and settings\Admin\Application Data\AltUpload e:\documents and settings\Admin\Application Data\KYL Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 июня, 2011 Share Опубликовано 27 июня, 2011 Неполучается вылечить файл лечить файл. только карантин или восстановить: пока воздержитесь от восстановления к сожалению первый из них: e:\windows\system32\3C72.tmp не хочет проверяться и даже просто передаваться по интернету. удалим скриптом: Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: e:\windows\system32\3C72.tmp Driver:: NetSvc:: Folder:: e:\documents and settings\Admin\Application Data\AltUpload e:\documents and settings\Admin\Application Data\KYL Registry:: FileLook:: DirLook:: RegLock:: [HKEY_USERS\S-1-5-21-854245398-1004336348-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Yury.Parshin 0 Опубликовано 27 июня, 2011 Share Опубликовано 27 июня, 2011 Здравствуйте. Выполните проверку обновленной версией утилиты TDSSKiller - 2.5.6. Она уже выложена на сайте и приложена в аттаче. TDSSKiller.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Toster 0 Опубликовано 27 июня, 2011 Автор Share Опубликовано 27 июня, 2011 провел удаление скриптом, затем проверил в TDSSKiller - 2.5.6. Утилита нашла все тот же \Device\Harddisk0\DR0 и новый "вредоностный объект", который предложила вылечить. после излечения, при повторной проверке с помощью нее же оказалось, что пропали обе угрозы. отчеты прилагаю. браузер работает нормально! огромнейшее спасибо за помощь, уже собирался систему переустанавливать! log.txt TDSSKiller.2.5.6.0_27.06.2011_20.38.05_log.txt TDSSKiller.2.5.6.0_27.06.2011_20.43.31_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 28 июня, 2011 Share Опубликовано 28 июня, 2011 Деинсталлируйте ComboFix: - нажмите Win+R - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up не выполнили: восстановите с дистрибутива файл (инструкция)Код e:\windows\System32\sfcfiles.dll это важно! Цитата Ссылка на сообщение Поделиться на другие сайты
Toster 0 Опубликовано 28 июня, 2011 Автор Share Опубликовано 28 июня, 2011 Все выполнил. Еще раз спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.