Что-то происходит...

[gudim 0]

Добрый день!

В майские праздники подхватили какой-то вирус, который менял файл host и блокировал сеть ВКонтакте, требуя выкупа. Вроде бы почистили Касперским 2013, но вчера с моей страницы и страницы супруга были разосланы спам-сообщения. + в праздники были взломаены доступы фтп к сайтам из Filezilla (теперь пароли в ней не храним, сайты почистили).

 

Специалисты, посмотрите, пожалуйста, не осталось ли чего плохого на компе?

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five 598]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\proxzy109.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\proxzy15.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\proxzy17.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17258\proxzy18.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\proxzy19.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\proxzy12.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\proxzy13.exe','');
QuarantineFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\proxzy14.exe','');
QuarantineFile(' C:\Windows\system32\F39D4DE6-98B8-4E05-91BD-549E8A8248BD.tmp','');
QuarantineFile(' C:\Users\Илья\AppData\Roaming\*.exe','');
QuarantineFile('C:\ProgramData\ntuser.dat','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\RECYCLER\*','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Wydeda.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\RECYCLER\login.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\ScreenSaverPro.scr','');
DeleteFile('C:\Users\Илья\AppData\Roaming\ScreenSaverPro.scr');
DeleteFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe');
DeleteFile('C:\Users\Илья\AppData\Roaming\RECYCLER\login.exe');
DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Wydeda.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\proxzy16.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\proxzy109.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\proxzy15.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\proxzy17.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17258\proxzy18.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\proxzy19.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\proxzy12.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\proxzy13.exe');
DeleteFile(' C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\proxzy14.exe');
DeleteFileMask('C:\Users\Илья\AppData\Roaming\', '*.exe',false);
DeleteFileMask('C:\Users\Илья\AppData\Roaming\RECYCLER\','*',true);
DeleteDirectory('C:\Users\Илья\AppData\Roaming\RECYCLER\',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Wydeda');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Remote Start Manager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tydedx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R3 - URLSearchHook: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O4 - HKCU\..\Run: [Wydeda] C:\Users\Илья\AppData\Roaming\Microsoft\Wydeda.exe
O4 - HKCU\..\Run: [Tydedx] C:\Users\Илья\AppData\Roaming\Tydedx.exe
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Илья\AppData\Roaming\ScreenSaverPro.scr
O4 - HKCU\..\Run: [Remote Start Manager] C:\Users\Илья\AppData\Roaming\RECYCLER\login.exe

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

 

Сделайте новые логи по правилам.

+

b]Сделайте лог AdwCleaner[/b]

http://safezone.cc/forum/showthread.php?t=19726

 

 

В майские праздники

заражение было от 17 апреля.

 

файлы на флэшках не пропадали?

[gudim 0]

Roman_Five, спасибо большое! Даже не думала, что столько пакости накопилось.

Когда ответ получу, обязательно добавлю. Пока выкладываю новые логи после чистки.

файлы на флэшках не пропадали?

да, было дело. Кстати, насчет флешек: что теперь с ними делать? Их нельзя вставлять в компьютер? Дело в том, что мужу постоянно приходится таскать файлы домой с рабочего компьютера, а там вирусы цепляются с флешек клиентов, видимо. Хотя там и стоит Касперский, как оказалось, он не совсем защищает.

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

AdwCleaner_R1_.txt

[Roman_Five 598]

да, было дело. Кстати, насчет флешек: что теперь с ними делать? Их нельзя вставлять в компьютер? Дело в том, что мужу постоянно приходится таскать файлы домой с рабочего компьютера, а там вирусы цепляются с флешек клиентов, видимо. Хотя там и стоит Касперский, как оказалось, он не совсем защищает.

потом отвечу подробно.

 

запустите ещё раз AdwCleaner и нажмите Delete

новый лог приложите.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Разрешен автозапуск с HDD
>>  Разрешен автозапуск с сетевых дисков
>>  Разрешен автозапуск со сменных носителей

[gudim 0]

запустите ещё раз AdwCleaner и нажмите Delete

новый лог приложите.

сделала

Автозапуски отменила.

AdwCleaner_S1_.txt

[Roman_Five 598]

Кстати, насчет флешек: что теперь с ними делать?

1) проверить ВСЕ сменные накопители на компьютере с обновлёнными базами антивируса

2) если на них скрыты папки и файлы - отобразить их с помощью ТоталКоммандера (Файл - Изменение атрибутов)

3) "левые" папки и ярлыки на них - удалить.

4) проверять постоянно все вновь принесённые накопители антивирусом.

[gudim 0]

1) проверить ВСЕ сменные накопители на компьютере с обновлёнными базами антивируса

вчера вставили флешку, проверили Касперским, угроз не обнаружено. Но на флешке была скрытая папка Rеcycled, мы ее, конечно, удалили, но не значит ли это, что на флешке был вирус и он снова проник в компьютер?

[Roman_Five 598]

что на флешке был вирус и он снова проник в компьютер?

нет.