[Лог+] Вирус: exxxplorer,exredr,exrxredr,sdsdsd

[Experience]

В папке C:\Documents and Settings\Admin появляются файлы: exxxplorer,exredr,exrxredr,sdsdsd все .ехе

симптомы: отрубаетсоединение с интернетом и выдает ошибку обращения к памяти.

 

avira нашла выше указаные файлы (кроме sdsdsd, avira не считает его вирусом) и еще один файл av[1].exe и говорит троян: drop.vb.imc.3

вроде удалил... но они появляются...

 

в папке recycler avira нашла файлы DC7.exe, DC8.exe

и новый троян spy.lybra.f.4 в папке систем32 neocentr.cpl

 

выше указанные файлы которые создает троян drop каждый раз как они появляются avira ругается... я их удаляю но они все появляются и появляются...

 

как быть? жду вашей помощи. зарание благодарен!

 

так же drop был найден в файле avCAMC36VX.exe avCAH9J01Z.exe

может он генерирует произвольные названия файлов? или это его исходные тела?

простите за не грамотность речи... я не хакер))

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Изменено 25 января, 2009 пользователем wise-wistful

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe','');
DeleteFile('C:\Temp\mc21.tmp');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Falcon]

Пофиксить с помощью HJT:

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

Изменено 23 января, 2009 пользователем Falcon

[Experience]

Вроде сделал все как вы написали...

таких симптомов больше нет... СПАСИБО БОЛЬШОЕ!

 

ниже логи после проделаных работ... все ли впорядке?

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

[ТроПа]

Отключите восстановление системы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132');
DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

[Experience]

Хм... Странно я вроде отключал восстановление системы…

Сделал все как написали:

hijackthis.log

virusinfo_syscure.htm

virusinfo_syscheck.htm

[ТроПа]

Извините не досмотрел что у CLSID есть маленькое различие, одну удалили и ещё одна осталась.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-34CX1C987132');
DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

 

 

Повторите лог после стандартного скрипта 3.

Изменено 26 января, 2009 пользователем wise-wistful

[Experience]

сделал, отправил.

virusinfo_syscheck.htm

virusinfo_syscure.htm

[Falcon]

c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe почил с миром...

[Experience]

Всем большое спасибо за проделанную работу!