Проводник тянет из сети вирус

[Irbis73]

Добрый день!

 

Предистория. Пользователь жалуется, что через некоторое время работы пропадает интернет. После перезагрузки все опять работает, но только некоторое время 30-60 минут.

 

Обнаружил, что Касперский убивает во временной папке вирусы:

Trojan-Downloader.Win32.Agent.torm

Trojan.Win32.Jorik.IRCbot.efa

Trojan.Win32.Jorik.Tedroo.dr

Trojan-Dropper.Win32.Injector.adcz

Похоже когда Касперский убивает вирус пропадает сетевое подключение.

 

Сделал восстановление проводника с помощью команд AVZ - не помогло.

Сделал проверку компьютера. Результат в приложенных файлах. Backup.zip - ключи реестра созданные AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

avz.txt

hijackthis.log

Backup.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe','');
DeleteFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mafofa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

т.е. кроме логов AVZ ещё требуются логи RSIT

перед созданием логов RSIT очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Irbis73]

Все сделал согласно инструкции.

AVZ обнаружил подмену проводника - сделал восстановление.

mbam подчистил вирусы.

После этого работает стабильно.

Ответа о вирусе пока не дождался.

 

Спасибо!

 

Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_12_06__12_08_20_.txt

info.txt

log.txt

[Roman_Five]

Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

не обращайте внимания

 

Удалите в MBAM:

 

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.Dorkbot) -> Value: zaber0 -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
c:\documents and settings\l.orlova\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028841.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028853.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028862.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028906.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028913.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029139.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029147.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029157.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029167.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029177.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029185.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029193.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029202.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029212.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029268.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP203\A0029351.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP205\A0030503.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\16.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\17.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\18.tmp (Trojan.Agent) -> No action taken.

 

приложите новый отчёт.

c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll

проверьте на virustotal.com

ссылку приложите.

Изменено 7 декабря, 2011 пользователем Roman_Five

[Irbis73]

В MBAM удалил сразу.

вот лог.

c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll - это агент трафик инспектора.

mbam_log_2011_12_07__14_37_50_.txt

[Roman_Five]

Деинсталлируйте MBAM

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте контрольные логи AVZ и RSIT по правилам.

[Irbis73]

При выполнении 1 скрипта, после предупреждения об отключении сетевых подключений, выходит синий экран смерти и сразу перезагружается компьютер. Попытку повторил 2 раза. Карантийных файлов соответственно нет.

[thyrex]

Новые логи сделайте

[Irbis73]

Сделал проверку. Логи приложены.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

не выполнили!

Деинсталлируйте MBAM

 

выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

повторите логи RSIT

[Irbis73]

MBAM удалил через панель управления. Теперь его там нет. Установочной папки в c:\Program Files тоже нет.

 

запустил скрипт. успел увидеть "stop tcpip /y", после чего вышел синий экран смерти и компьютер перезагрузился. Касперский в этот момент был выгружен. Файрвол не установлен.

 

Новые логи приложены.

info.txt

log.txt

[Roman_Five]

пофиксите в Hijackthis:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

вручную удалите

C:\Documents and Settings\l.orlova\Application Data\9.tmp

 

avz- файл - стандартные скрипты - скрипт № 6 - выполнить

 

сделайте новые логи RSIT

[Irbis73]

пофиксил.

файл удалил.

скрип выполнил.

 

новые логи приложены.

info.txt

log.txt

[Roman_Five]

всё чисто.