Заражены домашние компьютеры.

[A1279]

Вот ещё и логи RSIT сделал

info.txt

log.txt

[Tiare]

A1279, выгружаете все защитное ПО и драйвера виртуальных приводов.

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 45imrt0n.exe случайное имя утилиты (gmer)

45imrt0n.exe -del service afteihxr
45imrt0n.exe -del service auizkx
45imrt0n.exe -del service gmavlnzik
45imrt0n.exe -del service itpxy
45imrt0n.exe -del service jjevfu
45imrt0n.exe -del service kieykepm
45imrt0n.exe -del service kjszqe
45imrt0n.exe -del service llrmn
45imrt0n.exe -del service mwgoajxs
45imrt0n.exe -del service nnigpcy
45imrt0n.exe -del service oboei
45imrt0n.exe -del service pwncstxh
45imrt0n.exe -del service qrbosch
45imrt0n.exe -del service rjajoxcqf
45imrt0n.exe -del service suyqifmk
45imrt0n.exe -del service tgywnvrj
45imrt0n.exe -del service tlmnpyz
45imrt0n.exe -del service twnhnxsm
45imrt0n.exe -del service wcbdmz
45imrt0n.exe -del service wuhomynmo
45imrt0n.exe -del service xezilq
45imrt0n.exe -del service zgkjvgn
45imrt0n.exe -del service zhxpgdflo
45imrt0n.exe -del file "C:\WINDOWS\system32\buctibp.dll"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afteihxr"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zhxpgdflo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\zgkjvgn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\xezilq"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wuhomynmo"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\wcbdmz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\twnhnxsm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tlmnpyz"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\tgywnvrj"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\suyqifmk"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\rjajoxcqf"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qrbosch"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\pwncstxh"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\oboei"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\nnigpcy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mwgoajxs"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\llrmn"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kjszqe"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\kieykepm"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\jjevfu"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\itpxy"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\gmavlnzik"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\auizkx"
45imrt0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\afteihxr"
45imrt0n.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\chg.exe','');
QuarantineFile('E:\MiniNT\system32\rasman.dll','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Jergrp.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Pgrgrv.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DF5928.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotdrvss.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Jergrp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pgrgrv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','adonpdf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair( 8);
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

 

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

 

 

- Norton Internet Security 2006 – использовали ранее и удаляли? Удалите остатки

 

- SUPERAntiSpyware - используете? Если нет, то для полной деинсталяции воспользуйтесь этой утилитой

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

Повторите логи AVZ + RSIT + GMER

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

 

ВСЕ обновления виндовс установлены?

[A1279]

При выполнении cleanup.bat было несколько ошибок. Лог GMER сделал, выполняю AVZ.

GMER_лог.log

[thyrex]

Лог МВАМ не забудьте

[A1279]

Из лаборатории Касперского пришел ответ:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

~DF5928.tmp

 

Файл в процессе обработки.

 

bcqr00019.dat,

bcqr00020.dat,

rasman.dll

 

Вредоносный код в файлах не обнаружен.

 

netprotdrvss.exe - Trojan.Win32.Buzus.izik

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

[Tiare]

A1279, а где же логи AVZ + RSIT и отчет MBAM?

 

 

Выход в интернет на "больном" компьютере появился?

Изменено 5 ноября, 2011 пользователем Tiare

[A1279]

Извеняюсь за задержку. Вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_11_06__13_57_18_.txt

log.txt

info.txt

GMER_log.log

Изменено 6 ноября, 2011 пользователем A1279

[Tiare]

A1279, выход в интернет на этом компьютере появился?

 

 

Скрипт скоро напишу

[A1279]

Интернет появился.

[Tiare]

Интернет появился.

Отлично! Все ваши компьютеры необходимо изолировать друг от друга на время лечения, т.к. зараза может пролезть вновь. Этот компьютер - в первую очередь!

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini','');
QuarantineFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmpC.tmp');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFF4AE.tmp');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini');
DeleteFile('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini');
DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
DeleteFileMask('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteFileMask('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413', '*.*', true);
DeleteDirectory('c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013');
DeleteDirectory('c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

удалите эти строки в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\service32.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

c:\program files\tmeter\trafsvc.exe
c:\program files\modempro\modempro.exe
c:\windows\system32\mqsvc.exe

 

 

-Установите Internet Explorer 8 (даже если им не пользуетесь)

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

- обновите Adobe Flash Player до актуальной версии

+ Ставьте ВСЕ обновления на Windows! Это обязательно, т.к. у вас заражение сетевым червем (без актуальных обновлений системы он к вам вернется)!

 

 

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Какие проблемы остались?

Изменено 6 ноября, 2011 пользователем Tiare

[A1279]

То, что заметил на данный момент:

В интернет из оперы заходит, а из интернет эксплорера нет

[Tiare]

В интернет из оперы заходит, а из интернет эксплорера нет

подробнее? что именно происходит?

 

 

 

Вам необходимо закрыть доступ ко всем расшаренным ресурсам (на время лечения) и поставить сложные пароли на все учетные записи (на всех ваших компьютерах).

[A1279]

Добрый день. VirusTotal дал такие результаты:

 

по mqsvc.exe --- http://www.virustotal.com/file-scan/report...3dc1-1320731891

 

по trafsvc.exe --- http://www.virustotal.com/file-scan/report...0a7c-1320731359

 

по modempro.exe --- http://www.virustotal.com/file-scan/report...2f9c-1320732073

 

 

 

Mbam - после повторного сканирования ничего не нашел.

 

Internet explorer не открывает никакие страницы, пишет: "Internet Explorer не может отобразить эту веб-страницу" и под адресной строкой пишет:"Все надстройки обозревателя Internet Explorer отключены. Щелкните здесь для управления, отключения или удаления надстроек". Захожу в надстройки, но там везде состояние ВКЛЮЧЕНО. Оперой скачал и установил Internet Explorer-8 результат тот-же.

mbam_log_2011_11_08__12_44_32_.txt

Изменено 8 ноября, 2011 пользователем A1279

[Tiare]

Сделайте эти логи для контроля, если в них будет чисто, значит с лечением этого компьютера закончим.

После всего

1) повторите логи AVZ

2) Скачайте скачайте HijackThis, сохраните в отдельную папку (например, в папку C:\Program files\Hijackthis\). После этого сделайте новый лог RSIT.

 

 

Попробуйте деинсталлировать Internet Explorer через Пуск - Панель управления - Установка и удаление программ, потом скачайте новую версию и установите ее.

[A1279]

Вот логи. Интернет эксплорер не удаляется, его даже нет в списке установленных программ

Спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt