Решена Компьютер 3

Тема в разделе "Лечение компьютерных вирусов", создана пользователем julia.kz_7, 4 фев 2009.

Статус темы:
Закрыта.
  1. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Это третий комп. На нем найден 251 зараженный файл. Меньше чем на втором, а проблем больше. С трудом удалось восстановить работу диспетчера задач с помощью Trojan Remover. Скрытые файлы удавалось отобразить только на 2 секунды. Раз видно, два уже - нет. :eek: Вот такие фокусы. И только сейчас на нем заработал Касперский 6.0 (после обработки Dr.Web :unknw:)
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    wks? (корпоративная версия)

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\XP-D530B51C.EXE','');
     SetServiceStart('abp470n5', 4);
     QuarantineFile('C:\WINDOWS\system32\drivers\ilnifr.sys','');
     QuarantineFile('C:\WINDOWS\system32\klogon.dll','');
     QuarantineFile('C:\Program Files\Credo-III\NetAgent\NetAgent.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\ilnifr.sys');
     DeleteFile('C:\WINDOWS\system32\XP-D530B51C.EXE');
     DeleteService('abp470n5');
     BC_ImportALL;
     BC_QrSvc('qenpuaxo');
     ExecuteRepair(6);
     ExecuteRepair(8);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a643eb7-c2b1-11dd-81d9-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45400517-35ce-11dd-86ca-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e4af220-813a-11dc-ba40-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6775d74a-b452-11dd-81be-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{715d0de5-cee4-11dc-ba7d-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f7c026d-9840-11dd-8734-00d059584142}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8867461b-9826-11dd-8731-00d059584142}]

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Вот теперь повторите логи. :) Посмотрим чего осталось.
     
  3. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Как этот поживает?
     
  5. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    этот намного лучше, чем было. kido на нем не нашла. Интересно сеть уже можно восстанавливать? раньше каспер орал, что его атакуют как раз с этого компа.
     
  6. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Прикрепите логи ComboFix и Gmer
     
  7. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    запуск Gmer выкидывает в синий экран.
    лог combofix есть
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Конфискер хад
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    File::
    C:\autorun.inf.vir
    c:\windows\system32\x
    C:\c6ff
    Driver::
    qenpuaxo
    Folder::
    C:\khs
    c:\windows\system32\x
    C:\c6ff
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3098:TCP"=-

    FileLook::

    DirLook::

    Collect::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  9. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    все сделала
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    File::
    C:\khs
    Driver::

    Folder::
    C:\khs
    Registry::

    FileLook::

    DirLook::

    Collect::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\khs
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Можно ставить "заплатки" и пускать в сеть после этого.
     
  11. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    C:\khs moved successfully.
    ========== REGISTRY ==========
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Opera cache emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02062009_003141

    Files moved on Reboot...
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Как самочуствие?

    Запакуйте пожалуйста папку C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (с указанной ссылкой на тему. (at=@)

    Деинсталлируйте ComboFix: нажмите пусквыполнить - Combofix /u

    Скачайте OTCleanIt, запустите, нажмите Clean up
     
  13. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    не вижу у себя такой папки
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    бррр ошибся :(

    C:\Qoobox\Quarantine\ - но если запускали OTCleanIt уже поздно ;)
     
  15. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    очистку не запускала, но на этом компе нет ни одного архиватора
    так что карантин пришлю завтра
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Хорошо.
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    spec.fne - Trojan.Win32.Malware.1
    shell.fne - Trojan.AutoRun.mo
    eAPI.fne - Exploit.MS03-43
     
  18. julia.kz_7
    Оффлайн

    julia.kz_7 Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    какой ужас. раз это попало в карантин. значит что на компе их уже нет? удалены?
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    julia.kz_7, Вы абсолютно правы :)
     
Статус темы:
Закрыта.

Поделиться этой страницей