Решена Net-Worm.Win32.Kolab

Тема в разделе "Лечение компьютерных вирусов", создана пользователем laktur, 17 авг 2009.

Статус темы:
Закрыта.
  1. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    как удалить Net-Worm.Win32.Kolab
     
    Последнее редактирование: 17 авг 2009
  2. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    АВГ и Касперсий, нужно оставить кого-то одного.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\msrtm32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe','');
     QuarantineFile('c:\windows\waw32.exe','');
     TerminateProcessByName('c:\windows\waw32.exe');
     QuarantineFile('c:\windows\system32\sysmgr.exe','');
     TerminateProcessByName('c:\windows\system32\sysmgr.exe');
     DeleteFile('c:\windows\system32\sysmgr.exe');
     DeleteFile('c:\windows\waw32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe');
     DeleteFile('C:\WINDOWS\msrtm32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Затем в АВЗ выполните
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    2.Пофиксить в HijackThis следующие строчки
    Код (Text):

    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {0536A7D5-62BC-426C-992C-647180FDDE0C} - (no file)
    O2 - BHO: XBTB04482 Class - {086FBD6F-065A-432f-AA3E-D09594794B09} - (no file)
    O2 - BHO: (no name) - {DC4E23A4-3E93-4320-AD33-CD4D2A5F0287} - (no file)
    O2 - BHO: cyvlibP - {E0E2F84E-371A-4537-A0A0-902646E8ADE4} - (no file)
    O3 - Toolbar: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
    Архив quarantine.zip из папки с АВЗ загрузите по ссылке

    В АВЗ включите AVZPM и повторите логи.
     
  3. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    спасибо громадное!
    что значит повторите логи?

    Добавлено через 1 минуту 59 секунд
    АВГ и Касперсий, нужно оставить кого-то одного
    имелось ввиду АВЗ?
     
  4. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    laktur, имеется в виду повторить все шаги для получения нового комплекта логов (необходимо проконтролировать удаление).


    Нет, в логах заметны остатки антивируса AVG.
     
  5. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    новые логи
     
  6. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ
     
  7. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Acrobat 5.0 - обновите до версии Acrobat 9.х

    Понятно. Значит, уйдем от традиционной медицины.


    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\system32\sysio.exe
    C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\672.exe
    C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\699.exe
    c:\windows\waw32.exe
    C:\WINDOWS\taskmrg32.exe
    :Reg
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
    Подробнее можно прочитать в руководстве

    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  8. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    не отключается total security version 4.52
    и блокирует запуск всех программ, пишет file is infected
     
  9. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Всех? MBAM, ComboFix, OTM?

    Давайте попробуем запустить полиморфную версию AVZ

    Добавлено через 6 минут 28 секунд
    Если запустится, то выполните скрипт.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\User.COMP\Application Data\elefundesktops\_wallpaper\wallpaper.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\acedrv11.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\nplzqgxu.sys','');
     DeleteFile('c:\windows\waw32.exe');
     DeleteFile('c:\documents and settings\all users.windows\application data\18450784\18450784.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\18450784\18450784.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-3147116714-4690959723-530169093-6146\mwau.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив прикрепите к своей теме с карантином.

    Повторите логи полиморфной версии AVZ.

    Добавлено через 8 часов 7 минут 39 секунд
    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
  10. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте!!!...в ходе тяжелих и изнурительных боев на протяжении 8часов..всетаки удалось отключить Total Secure и провести сканрование.... OTM, Malwarebytes' Anti-Malware, ComboFix, AVZ....каждая из них постаралась на славу и нашла от 2 до 40 проблем...логи всех выше перечисленых программ шлю.. и жду от Вас ответа Gmer еще ведет тяжелые бои поетому отправлю завтра:)
     
  11. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Проверьте на www.virustotal.com (ссылки на результаты анализа запостите в этой теме)

    c:\program files\_DEISREG.ISR
    c:\windows\system32\drivers\ubohci.sys
    c:\windows\system32\drivers\ubsbp2.sys
    c:\windows\system32\Adobe\Shockwave 11\nssstub.exe

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::
    c:\windows\system32\Drivers\nplzqgxu.sys
    c:\windows\system32\drivers\gzasrmsn.sys
    G:\damrnj.exe
    G:\LaunchU3.exe
    c:\windows\is-TD4HN.exe
    c:\windows\system32\drivers\uzmzmjex.sys
    c:\documents and settings\User.COMP\khgugi.exe
    c:\documents and settings\NetworkService.NT AUTHORITY\ihcfxdy.exe
    NetSvc::
    yycgkn
    mxtnvdu
    oamzon

    Driver::
    nplzqgxu
    gzasrmsn
    yycgkn
    mxtnvdu
    oamzon
    Folder::

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8910:TCP"=-
    FileLook::
    c:\windows\system32\drivers\gzasrmsn.sys
    c:\windows\system32\drivers\tcpip.sys
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  12. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Еще раз здравствуйте! вото только закончил сканирование Gmer вотего лог..
     
  13. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    laktur, хорошо. Комбофикс показал все. Жду лог после выполнения рекомендаций.
     
  14. laktur
    Оффлайн

    laktur Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот етот последний
     
  15. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Дочистим следы.

    Как самочуствие?
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    KillAll::

    File::

    Driver::

    Folder::

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gzasrmsn.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nplzqgxu.sys]
    FileLook::

    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Я еще жду результаты анализа на www.virustotal.com
     
Статус темы:
Закрыта.

Поделиться этой страницей