Решена Отец полазил где-то...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Cameroon, 25 май 2009.

Статус темы:
Закрыта.
  1. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    В универ уходил и оставил качаться торрент.
    Отец пока меня нет садится за комп и лазиет "в контакте".

    Уж не знаю, где он так лазил, но теперь выскакивает надоедливое окно.
    Посмотреть вложение 672

    Причем нажав на кнопку закрыть нужно ждать 60 секунд пока окно пропадет.
    Окно выскакивает поверх тех, что поверх (с приоритетом наложения +2).
    Если нажать "не показывать рекламу" требует отправить смс.

    Делал логи, комп жутко заглючил. куча ошибко, при которых закрытие одних окон с ошибками приводит к открытию еще десятка новых (кажется, АВЗ дрался с драйвером клавы). Сбоил процесс dwwin.exe.

    Времени смотреть нет, с учебой завал...
    В логах мне очень не понравился spkp.sys!
    Логи прикрепил.
    Посмотреть вложение 673
    Посмотреть вложение 674
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    c:\program files\keyboard driver\cldapp.exe - необходимо проверить на www.virustotal.com

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
     QuarantineFile('c:\program files\keyboard driver\cldapp.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
     QuarantineFile('C:\WINDOWS\system32\msxml3.dll','');
     QuarantineFile('C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm','');
     QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
     QuarantineFile('C:\DOCUME~1\Cameroon\LOCALS~1\Temp\CpuInfo.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\a7ewi139.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\aff6jp6k.SYS','');
     QuarantineFile('C:\Program Files\Opera\spellcheck.dll','');
     DeleteFile('C:\WINDOWS\system32\digiwet.dll');
     DeleteFile('C:\WINDOWS\system32\jspWin.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

    Не гут.

    Мне тоже димон тулз не нравится :)

    Необходимо обновить базы AVZ, включить AVZPM и повторить логи. И логи RSIT я бы глянул.
     
  3. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    а я все вспоминал, где же я его видел...

    Добавлено через 35 минут 58 секунд
    как это сделать правильно?

    Добавлено через 6 минут 2 секунды
    AVZPM предложил перезагрузиться для просмотра всего списка. Это обязательно или просто сделать логи заново?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    :D это я не тот шаблон скопировал.

    Надо было загрузить по ссылке (Создать тему для загрузки карантина)


    Перезагрузится и включить тот браузер который рекламу "крутит".
     
  5. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    про браузер я не уверен.
    пользуюсь оперой. но окно выскакивало и без нее...
    однако, после того как сделал логи, оно 2 раза показалось в интервалом в несколько минут и замолкло...
    сейчас тоже в опере, но окна пока не видно.

    c:\program files\keyboard driver\cldapp.exe проверил. 0 из 39 попыток. хотя именно этот файл вызывал ошибку. пока делались логи выскакивало несколько десятков окошков с ошибкой, в заголовке которых стояло именно это имя, затем после закрытия группы всех этих окон в диспетчере висело много процессов dwwin.exe, завершение которых приводило к появлению первых... :)
    помимо этого, клава сама нашимала клавиши (я как раз в Word'е работал).
    вобщем, дождался конца логопроизводства и все отпустило.
    перезагружусь и сделаю новые логи RSIT и АВЗ.
     
  6. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
  7. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    по ходу, баннер вылазиет из-под эксплорера...
    одного не пойму, как он туда попал, если никто им не пользуется.

    outpost дважды предупредил, что эксплорер ломится в инет:
    0:41:21 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
    0:41:17 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
    0:41:13 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
    0:41:08 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
    я на первые две попытки онветил отказом, потом еще через некоторое время такое же окно, опять ответил отказом, и тут же появилось еще одно такое же окно от outpost'а, но в этот момент я на клаве нажал enter и нехотя разрешил, и через несколько минут выскочило окно с майками.
     
  8. Pili
    Оффлайн

    Pili Активный пользователь

    Сообщения:
    47
    Симпатии:
    171
    Cameroon, Здравствуйте. В опере посмотрите настройки пользовательских файлов Javascript - Ctrl+F12 -> Дополнительно -> Содержимое -> Настроить Javascript, если папка не пуста, найдите эту папку (файл) и отправьте в архиве с паролем virus на newvirus@kaspersky.com, архив можете закачать также по ссылке наверху темы, очистите поле пользовательских файлов Javascript или удалите Opera и установите заново, а лучше перейдите на Firefox c плагином NoScript
    C:\WINDOWS\system32\user32.dll - у вас патченный см. здесь, поэтому тоже рекомендую отправить на проверку (хотя м.б. у вас сборка или рез-т установки VistaDriveIcon)
    Обновите Adobe Acrobat и Java - Как обновить Java

    У вас установлено много защитного По, которое может конфликтовать и приводить к ошибкам, например не исключены конфликты WinPatrol с Agnitum Outpost
    Т.к. ошибки связаны с cldapp.EXE, переустановите C:\Program Files\Keyboard & Mouse Driver
    Система у вас специфическая, поэтому рекомендую пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, через некоторое время (база чистых обновляется не сразу) обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ), можете также выложить результаты проверки архива (по отчету CyberHelper`а)
     
  9. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    Pili, Вы правы, система пропатчена везде, куда только можно...
    До вчерашнего для ни один из этих патчер проблем не вызывал.
    Стоит сборка, поверх которой я ставил различные патчи в качестве эксперимента. В них проблемы быть не может, ибо все это проверено ни раз уже.

    А вот в user script вполне возможно. Ими начал пользоваться несколько дней назад. Нужно было заблокировать анкеты "в контакте" со своего компьютера. Написал скрипт, он сработал, мне понравилось и начал пробовать другие. Папку user script запаковал (в ней script.js1 - это мой скрипт, переименован для того, чтобы временно не действовать, а остальные, это скрипты данные мне знакомым).
    Посмотреть вложение 682
    (Этот архив оправил с паролем virus на newvirus@kaspersky.com)

    java обновлю позже.

    WinPatrol и OutPost друг на друга не ругаются. WinPatrol'ом пользуюсь уже очень давно, незаменимая прога, фаервол поставил недавно...

    переустановка C:\Program Files\Keyboard & Mouse Driver не приводит к изменениям. Драйвер действительно кривущий :superstition:

    Дождусь ответа Каспера, и потом отправлю 4 скрипт АВЗ.

    На Лисичку уже несколько раз пробовал себя заставить перейти, но никак... от удобства Оперы отвыкнуть невозможно!
    Хотя на другом компе пробвал, и плагин NoScript доставляет массу проблем на вервых парах...

    повторюсь: во всех патчах системы я уверен, так как опробовал их несколько раз на разных компах и пользуюсь уже не первый день.
     
  10. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    Обновление java предлагает скачать нехилый объем данных:
    Download Java SE Development Kit with JavaFX (JDK 6u13 / FX 1.1) for Windows, English - 115мб
    Download Java EE 5 SDK (with JDK 6 U13) Update 7 for Windows, Multi-language - 165Мб
    ownload Java SE Development Kit 6u13 for Windows, Multi-language - 73Мб.

    Учитываю то, что мой канал 128кб/с - это напрягает. Что качать-то?
     
  11. Pili
    Оффлайн

    Pili Активный пользователь

    Сообщения:
    47
    Симпатии:
    171
    Cameroon, В открытый доступ такие файлы как user scripts.rar лучше не выкладывать.
    По обновлению Javа, по ссылке есть инстркуция, если не пользуетесь утилитой, то вручную удалите предыдущие версии Java JRE и установите новую Java Runtime Environment JRE 6 Update 13 15.53 MB
    C:\WINDOWS\system32\jspWin.dll попробуйте вернуть обратно из карантина
     
    Последнее редактирование: 26 май 2009
  12. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    с помощью JavaRa удалил предыдущую версию. Результата нет.
    поставил скачанную jdk-6u13-windows-i586-p (73Mb которая).

    Все это время надоедливое окно так и вылазиет.
    Делаю проект, жутко мешает!!!

    Java Runtime Environment JRE 6 Update 13 качается.
    C:\WINDOWS\system32\jspWin.dll восстановил.
     
  13. Pili
    Оффлайн

    Pili Активный пользователь

    Сообщения:
    47
    Симпатии:
    171
    Из поля пользовательских файлов Javascript в опере не свои скрипты убрали? В других браузерах, например FF c NoScript рекламное окно появляется?
     
  14. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    я же говорю, вообще убрал все пользовательские скрипты.
    и окно появляется не в браузере!!! а просто так выскакивает поверх всех окон.

    подгружается не из инета потому как при отключенном роутере тоже выскакивает.
    думаю, должен быть какой-то процесс, за весь этот беспредел отвечающий...
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Код (Text):
    C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
    Посмотри содержимое файла.

    Добавлено через 1 минуту 0 секунд
    И сделай лог GSI с максимальной чувствительностью.
     
  16. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    Для чистоты эксперимента отключился от интернета, закрыл браузеры и начал чистить темпы через CCleaner и Advanced SystemCare. Этот момент опять появилось злополучное окно.
    Нажав на него начинает открываться страница в браузере по умолчанию. Перед этим я специально назначил Эксплорер по кмолчанию (до него была Опера). Как и ожидал, OutPost спросил, разрешить ли доступ в сеть. Появилось такое окошко:
    Посмотреть вложение 683
    Получается, эта форма не подгружается из инета и не работает из-под какого-либо браузера...
     
  17. Pili
    Оффлайн

    Pili Активный пользователь

    Сообщения:
    47
    Симпатии:
    171
    CyberHelper обработал ваш архив?
    Проверьте (по логу) все файлы в процессах без цифровой подписи, не прошедшие по базе безопасных, например такие как
    e:\Программы\^styling^\sidebar\vista rainbar v4 by gavatx\vista rainbar\rainmeter.exe
    E:\Программы\Everest\EVEREST Ultimate.5.Portable Rus\everest.exe
    и прочие, думаю квалификации у вас хватит (судя по статусу)
    Попробуйте деинсталлировать DAEMON Tools Toolbar (C:\Program Files\DAEMON Tools Toolbar)
    Из последних файлов/папок созданных недавно
    Вам всё знакомо?

    Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
    Базы МВАМ можно обновить отдельно - downloading the update MBAM

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
    После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
    Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

    Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

    Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
     
    2 пользователям это понравилось.
  18. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
  19. Cameroon
    Оффлайн

    Cameroon Активный пользователь

    Сообщения:
    80
    Симпатии:
    44
    Pili,
    Этим я полностью доверяю. Стоят уже не первый месяц.

    Malwarebytes' Anti-Malware уже давно проверил... найдено 3 подозрительных - но это 3 файла-справки, в которые упакованы журналы (для удобочитаемости). Лежат не на системном диске и уже давно.

    Ответ от CyberHelper еще не пришел.

    А сейчас будете смеяться...
    Из этих файлов я сам устанавливал все кроме C:\Documents and Settings\Cameroon\Application Data\AdSubscribe.

    И вот те на! Лежит себе, гаденыш, в этой папке и гадит...
    Откуда он там появился, понятия не имею, я его ТОЧНО не устанавливал.
    Посмотреть вложение 686
    Запустив uninstall говорит, что согласно договору (иж, какой наглец!) я должен рекламу еще 900 раз смотреть.

    Руки чешутся снести его на корню через IceSword :)
    Как лучше поступить с негодяем?
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Проверь файл
    C:\WINDOWS\Finish.exe


    Добавлено через 3 минуты 9 секунд
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\Documents and Settings\Cameroon\Application Data\AdSubscribe
    :Reg

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Тут что?
     
    2 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей