Решена Подозрение на RootKit

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ScriptMakeR, 7 мар 2015.

Статус темы:
Закрыта.
  1. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    В принципе, все в названии.
    До этого прошелся AdwCleaner и ClearLNK.
    Ноут немецкий, пишу методом тыка:)
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    Код (Text):
    eBay Worldwide [20141017]-->MsiExec.exe /I{D3E5A972-9A15-427D-AE78-8181A5FD943C}
    Знакомо? Если нет, то деинсталировать.
    если не используется, тоже в топку.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp');
    TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp');
    TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp');
    TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp');
    TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp');
    TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
    StopService('juqisyxe');
    StopService('tuvoqyby');
    StopService('sibehylo');
    QuarantineFile('C:\Users\dami\AppData\Local\Pay-By-Ads\Yahoo!', '');
    QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '');
    QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '');
    QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '');
    QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '');
    QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe', '');
    QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '');
    DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '32');
    DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '32');
    DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '32');
    DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '32');
    DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '32');
    DeleteFile('C:\Windows\system32\cpuminer-gw64.exe', '32');
    DeleteService('juqisyxe');
    DeleteService('tuvoqyby');
    DeleteService('sibehylo');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cpuminer');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    ScriptMakeR нравится это.
  3. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    eBay Worldwide тупо не удаляется. Что-то пишет на немецком, разрешение на действия запрашивает, но продолжает в установленных висеть.
    Google Toolbar for Internet Explorer, Movies Search App for Chrome, Movies Search App for Internet Explorer удалил.
    Google Update Helper не нашел.
    Сейчас все остальное сделаю.
    --- Объединённое сообщение, 7 мар 2015, Дата первоначального сообщения: 7 мар 2015 ---
    Готово.
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    SetServiceStart('byrisiwo', 4);
    StopService('byrisiwo');
    QuarantineFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '');
    QuarantineFileF('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
    QuarantineFile('C:\Program Files (x86)\QuickRef_1.10.0.9\Service\qrsvc.exe', '');
    QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys', '');
    QuarantineFile('C:\Windows\system32\BDL.dll', '');
    DeleteFile('C:\Windows\system32\BDL.dll', '32');
    DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys', '32');
    DeleteFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '32');
    DeleteService('byrisiwo');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yahoo! Search');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);end.
     
    после выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    ScriptMakeR нравится это.
  5. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    До послезавтра к ноуту доступа не имею, послезавтра все сделаю.
    З.Ы.: А кто это так интересно в начале AVZ'шных логов светился?
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    название вирусов можешь посмотреть внизу темы, а то о чём спрашиваешь это
     
    ScriptMakeR нравится это.
  7. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Извиняюсь за долгое отсутствие. Сам уже про него забыл, и хозяин молчит.
    Хм.. После выполнения скрипта AVZ и перезагрузки браузеры в интернет перестали ходить. В cmd пинг до google.com и safezone.cc проходит.
    --- Объединённое сообщение, 14 мар 2015, Дата первоначального сообщения: 14 мар 2015 ---
    Вот логи без MBAM.
    --- Объединённое сообщение, 14 мар 2015 ---
    C:\Windows\system32\BDL.dll
    Вот кого системе не хватает. Сейчас попробую найти его где-нибудь, а то MBAM не может базы обновить.
     

    Вложения:

  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Если карантин не удален, то возьми его оттуда.
     
    ScriptMakeR нравится это.
  9. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Сам про это подумал :)
    Восстановил. Интернет вернулся :)
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    напрасно, удаляйте его обратно и переделайте логи.
    --- Объединённое сообщение, 14 мар 2015 ---
    надо было не восстанавливать, а добивать его!
     
    ScriptMakeR нравится это.
  11. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Так MBAM без него не обновлял базы.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    делайте пока скрипт AVZ достачно даже только второй стандартный, напишем скрипт - дочистит остатки (хвосты в LSP) и интернет заработает, а потом продолжим остальное.
    --- Объединённое сообщение, 14 мар 2015 ---
    а на этот случай тут в ресурсах есть зеркало с обновлением баз. Обновляется каждый день.
     
  13. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Да теперь уже опять до понедельника перерыв.
    Кстати, это что-то новое? Всего 3 детекта на ВТ.
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    на адварь часто мало детектов.
     
Статус темы:
Закрыта.

Поделиться этой страницей