Посмотрите пожалуйста логи

[Roman_Five]

Gluki,

cкачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

[Gluki]

Еще ответ от вирлаба

 

xml25140.exe - Backdoor.Win32.Xyligan.dqh

xml26528.exe,

xml35174.exe,

xml84433.exe,

xml88183.exe - Backdoor.Win32.Xyligan.dqg

xml74222.exe - Trojan-Downloader.Win32.Agent.tbzc

xml83946.exe - Backdoor.Win32.Xyligan.dqf

 

Детектирование файлов будет добавлено в следующее обновление.

 

xml73889.exe

 

Этот файл повреждён.

 

 

2584396_s.dll,

2651001_s.dll - Backdoor.Win32.Xyligan.dju

791968_s.dll - Backdoor.Win32.Xyligan.dma

cloudsrv.exe_ - Trojan-Downloader.Win32.Agent.szfe

 

Эти файлы в настоящий момент определяются антивирусом. Обновите антивирусные базы.

 

tcpwamelib.exe_ - Worm.MSIL.Agent.hl

 

Детектирование файла будет добавлено в следующее обновление.

 

в данный момент идес скан ComboFix. Как будут готов лог, выложу

 

Лог Combofix

log.txt

Изменено 7 сентября, 2011 пользователем Gluki

[Gluki]

Стандартные логи после выполнения ComboFix

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

Стандартные логи после выполнения ComboFix

 

Прошу прошение за долгое отсутствие - работа... Все ваши логи вижу, буду проверять

 

P.S. у вас заражение сетевым червем, все обновления на виндовс ставить обязательно! Иначе, пролезет опять зараза.

Изменено 8 сентября, 2011 пользователем Tiare

[Gluki]

Прошу прошение за долгое отсутствие - работа... Все ваши логи вижу, буду проверять

 

P.S. у вас заражение сетевым червем, все обновления на виндовс ставить обязательно! Иначе, пролезет опять зараза.

 

Если только пользователь дома сам обновит винду полностью, с работы у меня это никак не получается (

[Tiare]

Если только пользователь дома сам обновит винду полностью, с работы у меня это никак не получается (

 

Пусть обязательно это сделает!

 

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
C:\WINDOWS\system32\drivers\sfc.sys

Driver::
sfc
doznhejv
nex0
nex1
nex2
nex3

NetSvc::
doznhejv
nex0
nex1
nex2
nex3

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon] 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2199:TCP"=-

Firefox::  
FF - prefs.js: browser.search.selectedEngine - Webalta Search

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

c:\windows\system32\sfcfiles.dll

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

Пуск - Выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите Enter. Для подтверждения перезаписи нажмите Y.

 

 

- обновите Adobe Reader до актуальной версии

 

 

Повторите логи MBAM и RSIT.

 

 

Проблемы остались?

Изменено 8 сентября, 2011 пользователем Tiare

[Gluki]

Рекомендации выполнил, логи прилагаю.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

c:\windows\system32\sfcfiles.dll

 

Все чисто: http://www.virustotal.com/file-scan/report...1a83-1315832647

mbam_log_2011_09_12__16_04_18_.txt

ComboFix.txt

log.txt

[Tiare]

Gluki, у меня такое чувство, что скрипт в ComboFix не выполнялся... Нового ничего нет, а все старое - на месте... Скрипт в ComboFix точно выполняли? Файл CFScript.txt на рабочем столе не остался? Если есть этот файл, попробуйте выполнить скрипт еще раз. Если файла CFScript.txt на рабочем столе нет, повторите последний скрипт в ComboFix еще раз, только в безопасном режиме.

 

 

 

 c:\WINDOWS\system32\drivers\hl_mull.sys

 

Отправьте на проверку через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Какие проблемы остались?

Изменено 12 сентября, 2011 пользователем Tiare

[Gluki]

Gluki, у меня такое чувство, что скрипт в ComboFix не выполнялся...

Точно выполнялся, но сделаю еще раз в безопасном режиме.

 

Вроде все с компом нормально, накачу KIS2012 посканирую, посмотрю что и как.

[Tiare]

 c:\WINDOWS\system32\drivers\hl_mull.sys

 

Отправьте на проверку через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Сделали? Ответ пришел?

 

 

P.S. Советую сменить все важные пароли (почта, виртуальные кошельки и проч.)

[Gluki]

P.S. Советую сменить все важные пароли (почта, виртуальные кошельки и проч.)

 

это сделают.

 

P/S/ Спасибо за помощь с системником все нормально, но прожил он в таком состоянии ровно 1 час и капитально обгрейдился со сменой операционки (ладно хоть данные которые копировались были чистые )