Перейти к содержанию

Заражены домашние компьютеры.


Рекомендуемые сообщения

  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • A1279

    19

  • Tiare

    13

  • R_A_D_E

    1

  • icotonev

    1

A1279, выгружаете все защитное ПО и драйвера виртуальных приводов.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 45imrt0n.exe случайное имя утилиты (gmer)

45imrt0n.exe -del service afteihxr
45imrt0n.exe -del service auizkx
45imrt0n.exe -del service gmavlnzik
45imrt0n.exe -del service itpxy
45imrt0n.exe -del service jjevfu
45imrt0n.exe -del service kieykepm
45imrt0n.exe -del service kjszqe
45imrt0n.exe -del service llrmn
45imrt0n.exe -del service mwgoajxs
45imrt0n.exe -del service nnigpcy
45imrt0n.exe -del service oboei
45imrt0n.exe -del service pwncstxh
45imrt0n.exe -del service qrbosch
45imrt0n.exe -del service rjajoxcqf
45imrt0n.exe -del service suyqifmk
45imrt0n.exe -del service tgywnvrj
45imrt0n.exe -del service tlmnpyz
45imrt0n.exe -del service twnhnxsm
45imrt0n.exe -del service wcbdmz
45imrt0n.exe -del service wuhomynmo
45imrt0n.exe -del service xezilq
45imrt0n.exe -del service zgkjvgn
45imrt0n.exe -del service zhxpgdflo
45imrt0n.exe -del file "C:\WINDOWS\system32\buctibp.dll"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\afteihxr"
45imrt0n.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\chg.exe','');
QuarantineFile('E:\MiniNT\system32\rasman.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jergrp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pgrgrv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','adonpdf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair( 8);
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

- Norton Internet Security 2006 – использовали ранее и удаляли? Удалите остатки

 

- SUPERAntiSpyware - используете? Если нет, то для полной деинсталяции воспользуйтесь этой утилитой

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

Повторите логи AVZ + RSIT + GMER

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

 

ВСЕ обновления виндовс установлены?

Ссылка на сообщение
Поделиться на другие сайты

Из лаборатории Касперского пришел ответ:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

~DF5928.tmp

 

Файл в процессе обработки.

 

bcqr00019.dat,

bcqr00020.dat,

rasman.dll

 

Вредоносный код в файлах не обнаружен.

 

netprotdrvss.exe - Trojan.Win32.Buzus.izik

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

Ссылка на сообщение
Поделиться на другие сайты

A1279, а где же логи AVZ + RSIT и отчет MBAM?

 

 

Выход в интернет на "больном" компьютере появился?

Изменено пользователем Tiare
Ссылка на сообщение
Поделиться на другие сайты

Извеняюсь за задержку. Вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_11_06__13_57_18_.txt

log.txt

info.txt

GMER_log.log

Изменено пользователем A1279
Ссылка на сообщение
Поделиться на другие сайты
Интернет появился.

Отлично! Все ваши компьютеры необходимо изолировать друг от друга на время лечения, т.к. зараза может пролезть вновь. Этот компьютер - в первую очередь!

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
QuarantineFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFF4AE.tmp');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
DeleteFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini');
DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DeleteFileMask('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteFileMask('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413', '*.*', true);
DeleteDirectory('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013');
DeleteDirectory('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

удалите эти строки в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

c:\program files\tmeter\trafsvc.exe
c:\program files\modempro\modempro.exe
c:\windows\system32\mqsvc.exe

 

 

-Установите Internet Explorer 8 (даже если им не пользуетесь)

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

- обновите Adobe Flash Player до актуальной версии

+ Ставьте ВСЕ обновления на Windows! Это обязательно, т.к. у вас заражение сетевым червем (без актуальных обновлений системы он к вам вернется)!

 

 

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Какие проблемы остались?

Изменено пользователем Tiare
Ссылка на сообщение
Поделиться на другие сайты
В интернет из оперы заходит, а из интернет эксплорера нет

подробнее? что именно происходит?

 

 

 

Вам необходимо закрыть доступ ко всем расшаренным ресурсам (на время лечения) и поставить сложные пароли на все учетные записи (на всех ваших компьютерах).

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. VirusTotal дал такие результаты:

 

по mqsvc.exe --- http://www.virustotal.com/file-scan/report...3dc1-1320731891

 

по trafsvc.exe --- http://www.virustotal.com/file-scan/report...0a7c-1320731359

 

по modempro.exe --- http://www.virustotal.com/file-scan/report...2f9c-1320732073

 

 

 

Mbam - после повторного сканирования ничего не нашел.

 

Internet explorer не открывает никакие страницы, пишет: "Internet Explorer не может отобразить эту веб-страницу" и под адресной строкой пишет:"Все надстройки обозревателя Internet Explorer отключены. Щелкните здесь для управления, отключения или удаления надстроек". Захожу в надстройки, но там везде состояние ВКЛЮЧЕНО. Оперой скачал и установил Internet Explorer-8 результат тот-же.

mbam_log_2011_11_08__12_44_32_.txt

Изменено пользователем A1279
Ссылка на сообщение
Поделиться на другие сайты

Сделайте эти логи для контроля, если в них будет чисто, значит с лечением этого компьютера закончим.

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Попробуйте деинсталлировать Internet Explorer через Пуск - Панель управления - Установка и удаление программ, потом скачайте новую версию и установите ее.

Ссылка на сообщение
Поделиться на другие сайты

Вот логи. Интернет эксплорер не удаляется, его даже нет в списке установленных программ :)

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...