Решена Вирус придавил Касперского :(((((

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Потерпевшая, 15 дек 2008.

Статус темы:
Закрыта.
  1. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Помогите, пожалуйста. Завелась какая-то дрянь, Касперский выдаёт сообщения о подозрительных процессах, вот только в опциях предлагает разрешить и внести в исключения и всё :confused:. Сообщает о попытках перехвата с клавиатуры и несанкционированных подключениях. При проверках через раз зависает.
     
  2. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\dll.dll','');
     DeleteFile('C:\WINDOWS\system32\dll.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

    Повторите логи.

    IP - 85.255.116.165;85.255.112.122 - Ваши?
     
  3. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    в истерике :(

    Спасибо большое за ответ
    Капантин выслала, IP не мои, у меня вообще-то динамические, но ведь провайдеровская часть же не изменяется? (83.35.25) Тем более что на момент сканирования комп был физически отключён от сети :(. От таскания логов на флешке заразился второй комп в сети (понимаю, что следовало ожидать, но что было делать?) Причём на втором тут же упали винды, хоть и все операции производились через ограниченого пользователя....
    Реально ли в такой ситуации сохранить хотя бы файлы на заражённых компах (бог с ним с системным диском)? Очень много важного и личного :hysteric:
    Ещё раз спасибо.
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Станно карантин не получал.
    отправьте ещё раз, пожалуйста.

    85.255.116.165
    Хост недоступен

    85.255.112.0 - 85.255.127.255

    UkrTeleGroup Ltd.
    Ukraine

    Mechnikova 58/5 65029 Odessa
    к Одессе имеете отношение?

    Вы антивирус отключаете при выполнении скриптов в АВЗ?
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\dll.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Включите в АВЗ AVZPM и повторите логи.

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
    Установите Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
     
    Последнее редактирование: 15 дек 2008
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Потерпевшая, второй комп запустите из под имени администратора...заловред не смог нормально развернутся вот и систему положил. И готовьте логи с оного (второго компьютера).

    Если его возможно запустить в любом режиме.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
     
  7. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Отправила ещё раз с русской почты
    Да ни боже мой! :scaut: Э-эх, пусть одесские кул-хацкеры подавятся моими паролями к кухонным форумам!
    Да, конечно. Винды верещат об отключении антивируса и файервола, так что они точно выключены.
    Майкрософт консоль мне не отдаёт почему-то. Говорит невозможно загрузить страницу :eek:
     
    Последнее редактирование: 15 дек 2008
  8. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Это логи после скрипта
     
    Последнее редактирование: 15 дек 2008
  9. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Это логи RSIT. Можно я пока не буду второй трогать? Чесное слово - страшно представить, как всё одновременно расковыривать :((((
     
    Последнее редактирование: 15 дек 2008
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Интересный зловред
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\telek\DSDrv4.sys','');
     QuarantineFile('\systemroot\system32\drivers\msqpdxpxoeoipa.sys','');
     DeleteFile('\systemroot\system32\drivers\msqpdxpxoeoipa.sys');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


    Пофиксить в HijackThis следующие строчки
    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDB2B5A-992A-4E57-BA75-CA5CEC8F6230}: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CS1\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CS3\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122

    Давайте логи ComboFix и RSIT и повторите логи AVZ.


    Да, возможно Вам прийдется востановить настройки интернета, те которые предоставил провайдер.
     
  11. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Упс...

    Я всёж-таки нашла консоль и запустила Combo Fix, не дождавшись немного. И он похоже зловреда, того, придушил :yess:
    Пока прилагаю его лог. Скрипт теперь выполнять? Или ещё каки-нибудь логи нужны?
    Пасибище огромное! (При работе действительно снёс все прописанные ДНС сервера и уничтожил почтовую базу Бэта - ну да ничего, фуф!)
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    C:\WINDOWS\system32\drivers\msqpdxserv.sys
    FileLook::
    C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  13. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Это лог комбо-фикса. Вот только в папке temp из local settings осталось около десятка неубиваемых файлов. Их даже Ice sword не берёт. Это плохо? :(
    Называются jar_cache46973.tmp и так далее по порядку 16 файлов. И ещё toolbox_healer46982.log
     
    Последнее редактирование: 15 дек 2008
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Это последствия работы java машины установленной на Вашем компьютере
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

    Деинсталлируйте ComboFix: нажмите пусквыполнить - Combofix /u

    Скачайте OTCleanIt, запустите, нажмите Clean up

    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
     
  16. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Докладываю:
    Ещё одни логи RSIT я прилагаю (вроде раньше нужно было, или я чего путаю?)
    После дезинсталляции Combofix осталась только папка Combo fix с двумя архивами без расширений (или надо было сначала запаковать папку а потом дезинсталировать? Извините, ради бога, за тупость :sorry:)
    Эти архивы потом изничтожил Malwarebytes' Anti-Malware... А это его логи:
    Код (Text):
    Malwarebytes' Anti-Malware 1.31
    Версия базы данных: 1501
    Windows 5.1.2600 Service Pack 3

    15.12.2008 16:16:41
    mbam-log-2008-12-15 (16-16-41).txt

    Тип проверки: Полная (C:\|D:\|E:\|F:\|)
    Проверено объектов: 107935
    Прошло времени: 28 minute(s), 53 second(s)

    Заражено процессов в памяти: 0
    Заражено модулей в памяти: 0
    Заражено ключей реестра: 1
    Заражено значений реестра: 0
    Заражено параметров реестра: 0
    Заражено папок: 0
    Заражено файлов: 2

    Заражено процессов в памяти:
    (Вредоносные программы не обнаружены)

    Заражено модулей в памяти:
    (Вредоносные программы не обнаружены)

    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    Заражено значений реестра:
    (Вредоносные программы не обнаружены)

    Заражено параметров реестра:
    (Вредоносные программы не обнаружены)

    Заражено папок:
    (Вредоносные программы не обнаружены)

    Заражено файлов:
    D:\System Volume Information\_restore{02CD3681-FCFA-4101-BD04-2FD2627FC49C}\RP820\A2144913.exe (Malware.Tool) -> Quarantined and deleted successfully.
    D:\utilites\Firefox\components\iamfamous.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
     
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Моя вина...немного спутал очередность выполнения действий.


    Как самочуствие пациента?

    Обновите java, установите IE7, система использует этот браузер, даже если Вы пользуетесь альтернативным.

    И для очищения совести проверьте на http://www.virustotal.com файл:
    C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
     
  18. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Яву обновила, а вот IE7 устанавливаться не захотел... (Мда, явно Майкрософт меня не любит :mda:)
    Самочувствие вроде нормальное, без симптомов. Только при загрузке осталась строка отладчика Combofix. А, и указанного файла на диске не обнаружилось :eek:
    Вот, докладываю логи, если всё окажется в порядке (тьфу, тьфу, тьфу) - завтра возьмусь за следующего пострадавшего.
    Ой, да! А можно теперь Касперским обратно пользоваться как постоянным антивирусом?
    Спасибо Вам огромное, за помощь и потраченное на меня время :tender:
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Это не отладчик, это консоль востановления :) OTCleanIt - запускали? Эта утилитка должна удалить остатки программы.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\NOS\bin\getPlus_HelperSvc.exe','');
     BC_ImportQuarantineList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Попробуем файл получить таким способом. Если его нет, то удалим следы.
     
  20. Потерпевшая
    Оффлайн

    Потерпевшая Активный пользователь

    Сообщения:
    11
    Симпатии:
    0
    Сделано :)
    Скрипты выполнены, карантин отправлен
    OTCleanIt запускала после дезинсталяции. Он-то стало быть и "доел" те два странных файла :eek:. Консоль в общем не мешает, только мелькает при загрузке. Может потом в критических случаях пригодится :)
     
Статус темы:
Закрыта.

Поделиться этой страницей