все началось со SMAXXI

[Gorbaoksi]

Собственно прицепилась как-то эта Smaxxi. Сколько раз не удаляла - все равно не получалось. Вчера решила попробовать еще разок с помощью КасперскиАнтиРутКит. Для начала завис ноут после попытки зайти в безопасном режиме. Винда не грузилась минут 10 и я просто сбросила. После ребута было предложено загрузиться с последнего бэкапа. Тут все и началось. Пропала Авира и вся ее папка. Вайфай не работал. При попытке зайти в сэйфмоде - винда продолжала грузитьс в обычном режиме. Никакие утилитыы и файлы не помогли восстановить эту возможность. Пришлось плюнуть на это и занялась файфаем. Ноут сети видел,но подключиться не мог. Ручные настройки ноута и роутера не помогали. В итоге нашла программку и пофиксила tcp/ip. Теперь интернет есть. При установке антивируса начала вілазить табличка "не удается найти 'gprconv'....." что-то в этом роде.... Понимаю что есть проблемы на ноуте. Прошу помощи. log.txtinfo.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip

[Tiare]

Gorbaoksi, здравствуйте.

 

Протокол антивирусной утилиты AVZ версии 4.32

 

Скачайте актуальную версию 4.37 и переделайте логи AVZ

 

+

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Gorbaoksi]

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2012_01_26__20_08_38_.txt

удалять то что нашел малваре или пока нет?

[Tiare]

удалять то что нашел малваре или пока нет?

подождите, пока ничего не удаляйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Documents and Settings\Admin\Application Data\HDRenderer\HDRenderer32.exe

C:\WINDOWS\innounp.exe

C:\WINDOWS\system32\drivers\str.sys

C:\Program Files\CKM Systems\Lite\winckm.exe

C:\Program Files\T_Soft\SkyLogger\sklgr.exe

Изменено 26 января, 2012 пользователем Tiare

[Gorbaoksi]

https://www.virustotal.com/file/3cf5a5abd82...sis/1327603848/

https://www.virustotal.com/file/9f13fd5d3ca...sis/1327603984/

https://www.virustotal.com/file/65f22bc64df...sis/1327604044/

 

на два последних запроса выскакивает табличка "Указаный путь не существует. Проверте правильность указания пути"

[Tiare]

сейчас напишу рекомендации

[Gorbaoksi]

спсибо,жду....

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\T_Soft\SkyLogger\sklgr.exe','');
QuarantineFile('C:\Program Files\CKM Systems\Lite\winckm.exe','');
QuarantineFile('C:\WINDOWS\system32\boobouc.exe','');
QuarantineFile('C:\Documents and Settings\Admin\imPlayok.exe','');
DeleteFile('C:\WINDOWS\system32\boobouc.exe');
DeleteFile('C:\Documents and Settings\Admin\imPlayok.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\microsoft\shared tools\msconfig\startupreg\imPlayok');
DeleteService('dxsea1efuyi');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\zarchive', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\HDRenderer', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\zarchive');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\HDRenderer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe

 

 

удалите только эти строки в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

Обнаруженные ключи в реестре:  7
HKCR\idid (Trojan.Sasfix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\ICF (Rootkit.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop|id (Malware.Trace) -> Параметры: 728041613730 -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop|host (Malware.Trace) -> Параметры: 91.207.6.82 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Services|del (Malware.Trace) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup|RegistryMonitor2 (Malware.Trace) -> Параметры: 73739973 -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Program Files\Microsoft Common (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  11
C:\Documents and Settings\Admin\Application Data\HDRenderer\HDRenderer32.exe (PUP.BitMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\zarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\wiaservg.log (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Admin\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Действие не было предпринято.

 

 

Найдите файл prefs.js в директории:

C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\gmdag8ji.default

Откройте данный файл с помощью блокнота и пропишите вашу домашнюю страницу вместо

prefs.js - "browser.startup.homepage" - http://www.smaxxi.biz

Посмотрите адрес и назначьте домашнюю страницу в Mozilla Firefox, на вкладке Инструменты - Настройки - Основные.

 

Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)".

 

 

Установите Internet Explorer 8 (даже если им не пользуетесь)

Необходимо ставить ВСЕ важные обновления для ОС! (может потребоваться повторная активация)

 

 

После этого повторите логи AVZ - не забудьте обновить базы!

+RSIT

 

 

 

P.S. меняйте все важные пароли

Изменено 27 января, 2012 пользователем Tiare

[Gorbaoksi]

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

mbam_log_2012_01_27__06_15_42_.txt

во время удаления файлов в mbam не было данной строчки

C:\Documents and Settings\Admin\Application Data\HDRenderer\HDRenderer32.exe (PUP.BitMiner)

сканер HighJackThis во время сканирования показывал два файла

C:\Program Files\CKM Systems\Lite\winckm.exe
C:\Program Files\T_Soft\SkyLogger\sklgr.exe

хотя по описанному адресу ничего не находилось.

з.ы. сейфмод все так же не включается,а продолжает грузиться Windows в обычном режиме

Изменено 27 января, 2012 пользователем Gorbaoksi

[Tiare]

По указанному пути этих папок нет? Данные программы вы ранее самостоятельно устанавливали?

C:\Program Files\CKM Systems\Lite

C:\Program Files\T_Soft\SkyLogger

 

 

Проверьте, если эта папка по-прежнему на месте, удалите ее вручную

C:\Documents and Settings\Admin\Application Data\zarchive

 

 

это делали?

найдите файл prefs.js в директории:

C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\gmdag8ji.default

Откройте данный файл с помощью блокнота и пропишите вашу домашнюю страницу вместо

prefs.js - "browser.startup.homepage" - http://www.smaxxi.biz

посмотрите адрес и назначьте домашнюю страницу в Mozilla Firefox, на вкладке Инструменты - Настройки - Основные.

 

Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)".

 

Насчет безопасного режима почитайте

 

 

Какие еще проблемы есть?

[Gorbaoksi]

Смаххи пофиксились, файл в мозилле отредактировала. Папки zarchive нет. Т_софт и СКМ устанавливала сама.

Спасибо большое за помощь. Стоит ли еще что-то проверять и делать?

[Tiare]

Смаххи пофиксились, файл в мозилле отредактировала. Папки zarchive нет. Т_софт и СКМ устанавливала сама.

Спасибо большое за помощь. Стоит ли еще что-то проверять и делать?

 

Если ничего не беспокоит, то ждем ответа по отправленному вами карантину.

 

Последите за системой, будут проблемы - пишите.

 

 

Деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Изменено 27 января, 2012 пользователем Tiare

[Gorbaoksi]

Последите за системой, будут проблемы - пишите.

пишу поставила галочку SAFEBOOT - теперь появляется меню выбора загрузки Windows в разных режимах,но система не грузится. Если запускать в обычном режиме,то появляется заставка загрузки Windows и система виснет. Если через Безопасный режим,то даже не появляется окно загрузки Windows. Что посоветуете?

[Roman_Five]

Что посоветуете?

а если выбрать загрузку последней удачной конфигурации?

[Gorbaoksi]

а если выбрать загрузку последней удачной конфигурации?

ноут не трогала и он загрузился таки в сейфмоде,спустя 15 минут шайтан.Быстро,ничего не скажешь. Не хочется переустанавливать ОС ;(

нашлось в автозагрузке CKM_System и какой-то ImPlayOk.exe. Первый был отмечен галочкой - второй нет. Убрала галку. Сейчас попробую перезагрузиться нормально. А потом с последние удачной конфой....

upd. Теперь грузится исключительно в безопасном режиме. Чертовщина какая-то. И опять же грузится по 10 минут....

upd2. Убрала галку с SAFEBOOT стало нормально опять грузиться

Изменено 27 января, 2012 пользователем Gorbaoksi