Помогите разобраться с заражением

[flirtlights]

Здравствуйте. Симптомы - системные звуки присутствуют, в приложениях и плеерах - звука нет. при каждой загрузке в панели управления в разделе "звуки" - "не найдены аудиоустройства", заново проставляю галочки под "использовать это устройство" в разделе "оборудование", перегружаюсь и до следующего "спящего режима", перезагрузки всё работает. Дальше - заново те же симптомы.

hijackthis.log

virusinfo_syscure.htm

virusinfo_syscheck.htm

gmer.log

ComboFix.txt

Изменено 3 марта, 2009 пользователем flirtlights

[ТроПа]

Не совсем понятно, почему вы решили, что у Вас Kido.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{740F2BA9-727E-4FB5-8FEB-DFEE32778CAE}');
QuarantineFile('C:\WINDOWS\system32\wiwlib.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\Program Files\Save\Save.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\wiwlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки )

 

 

Повторите логи.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Временно выключите антивирус, firewall и другое защитное программное обеспечение

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{480b9700-c20f-11dd-819c-001d92f792a9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9a5fd-f3fb-11dd-85c2-001d92f792a9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be175984-f11c-11dd-85bd-001d92f792a9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0ac2c26-b19f-11dd-8179-001d92f792a9}]

FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Новый отчет ComboFixсохраниться в файл файл C:\ComboFix.txt .

 

Повторите логи АВЗ и HJT.

[flirtlights]

Спасибо за столь скорый ответ. Докладываю - удалось всё , кроме фиксы Hijacka. у меня не оказалось строчки, помеченной в видео-примере. На указанные мейлы файлы отослал. После перезагрузки windows (combofix) снова слетели аудиоустройства и активные микшеры ((( ЖДУ ДАЛЬНЕЙШИХ УКАЗАНИЙ И ПОКАЗАНИЙ.

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

ComboFix.txt

gmer.log

Изменено 3 марта, 2009 пользователем flirtlights

[ТроПа]

c:\windows\system32\autorun.i и c:\windows\system32\autorun.in привидите содержимое этих 2 файлов.

C:\khs - это чего такое?

[flirtlights]

c:\windows\system32\autorun.i и c:\windows\system32\autorun.in привидите содержимое этих 2 файлов.

C:\khs - это чего такое?

 

Таких файлов (уже) нет. Есть только autorun.inf.vir в папке с:\Qoobox\quarantine\c\windows\system32 и там же лежит помеченный csrcs.exe.vir . Других autorun-ов не найдено....

с:\khs - тоже не обнаружен...... мистика...

[ТроПа]

Я в логах больше ничего подозрительного не вижу.

[flirtlights]

Я в логах больше ничего подозрительного не вижу.

Для меня это, как приговор..... Знаете, проверялся еще в Тотале - там среди списка антивирусов пару нашло в моих файлах что-то. Сейчас проверю ещё раз и отрапортую.

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\khs
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
Driver::

Folder::
C:\khs
Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению

 

Проверить на http://www.virustotal.com и линки запостить

c:\windows\system32\user32.dll

 

c:\windows\system32\wininet.dll

 

c:\windows\system32\drivers\tcpip.sys

 

c:\windows\explorer.exe

 

c:\windows\system32\ctfmon.exe

 

c:\windows\system32\wuauclt.exe

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[flirtlights]

Здравствуйте, спасибо , что откликнулись! Перед репортами добавлю ещё пару наводок.

Во-первых сегодня с утра обнаружил wuaclt1.exe, пометил его расширением .vir , теперь появился новый файл wuauclt1.exe и wuauclt.exe тоже есть рядышком........ Также рядом с tcpip.sys есть файл tcpip6.sys ....

Подчитал сообщения на форуме товарищей по несчастьям, там есть парень с похожими симптомами, у меня кроме "не найдено аудиоустройств" тоже изменяется скин панели ПУСК на стандартный... после запуска Сombofix вроде сейчас скин, как надо (под Halflife)...

 

http://www.virustotal.com/ru/analisis/ebff...813da22a4245293

http://www.virustotal.com/ru/analisis/9e9e...196a267d2bd7c4a

http://www.virustotal.com/ru/analisis/731d...2c14c316fe9fe96

http://www.virustotal.com/ru/analisis/b8e6...dbbc4482a14d6b9

http://www.virustotal.com/ru/analisis/2c86...cd1f6c85e27826e

http://www.virustotal.com/ru/analisis/7cfd...a587e2447fa4410

 

Вот всё, что вы просили. Смиренно жду ответа, о антивирусный гуру и спаситель!

ComboFix.zip

mbam_log_2009_03_04__18_18_59_.txt

Изменено 4 марта, 2009 пользователем flirtlights

[akoK]

user32.dll - запакуйте с паролем virus и отправьте newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма. Потом замените на оригинального из дистрибутива.

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\khs
c:\windows\system32\autorun.i
c:\windows\system32\autorun.in
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Отключите автозапуск

 

Установите:

1. http://www.microsoft.com/technet/security/...n/MS08-067.mspx
   
2. http://www.microsoft.com/technet/security/...n/ms08-068.mspx
   
3. http://www.microsoft.com/technet/security/...n/ms09-001.mspx
   

 

А еще лучше поставьте, то что предложит windows update

 

Проверьтесь

 

 

У Вас сборка от зверя?

[flirtlights]

сборка Звериная. Это что-то меняет?

[akoK]

сборка Звериная. Это что-то меняет?

 

Да. Сильно "похаканая" сборка. Реально, что то найти......скажу так в сложных заражениях найти что-то, вредоносное, практически невозможно

[flirtlights]

Понятно, дорогой друг. Может действительно борьба за непреустановку Windows не стоит свеч в данной ситуации.... К тому же только что у меня почему-то из всех страниц перестала грузиться именно страница Kaspersky.ru !!!!!!! Пишу с другого компа! Что это, чёрт меня дери?

[akoK]

На звере тяжело Kido например лечить....никакие утилиты его не видят....аваст правда при проверке при перезагрузке удаляет

[flirtlights]

Вчера ночью снёс Систему. Поставил новую. Поставил дрова, звук перестал пропадать, я уже воспрянул духом.... Сегодня включаю комп, снова те же симптомы.... Скин Системы сменился на примитивно стандартный, в Realtek микщере всё спокойно, а в стандартном системном - "активных микшеров не обнаружено", не найдено ни одного аудиоустройства... Установил вместо прежнего AVG - Avast, он у меня нашёл вирусню типа malware и троянов с червями и уже в чистом с:\ и так по винтам......

Прикрепил вам отчёт Avasta, может о чём-то скажет... Кстати, только что подчитал письма пострадавший и нашёл ешё одни симптомы перед сносом системы - меня вдруг перестало пускать к антивирусным сайтам, к вам в частности.... Вот это , блин, уроды , эти вирусонаписаки!Это ж тоже вирус был?

 

Сообщение от модератора wise-wistful

Удалил virusinfo_cure - ему не место на форуме

mbam_log_2009_03_05__21_49_33_.txt

avz_log.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 6 марта, 2009 пользователем wise-wistful