Решена Net-Worm.Win32.Kolab

[laktur]

как удалить Net-Worm.Win32.Kolab

 

[ТроПа]

АВГ и Касперсий, нужно оставить кого-то одного.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\msrtm32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe','');
 QuarantineFile('c:\windows\waw32.exe','');
 TerminateProcessByName('c:\windows\waw32.exe');
 QuarantineFile('c:\windows\system32\sysmgr.exe','');
 TerminateProcessByName('c:\windows\system32\sysmgr.exe');
 DeleteFile('c:\windows\system32\sysmgr.exe');
 DeleteFile('c:\windows\waw32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe');
 DeleteFile('C:\WINDOWS\msrtm32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Затем в АВЗ выполните

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2.Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0536A7D5-62BC-426C-992C-647180FDDE0C} - (no file)
O2 - BHO: XBTB04482 Class - {086FBD6F-065A-432f-AA3E-D09594794B09} - (no file)
O2 - BHO: (no name) - {DC4E23A4-3E93-4320-AD33-CD4D2A5F0287} - (no file)
O2 - BHO: cyvlibP - {E0E2F84E-371A-4537-A0A0-902646E8ADE4} - (no file)
O3 - Toolbar: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)

Архив quarantine.zip из папки с АВЗ загрузите по ссылке

В АВЗ включите AVZPM и повторите логи.

 

[laktur]

спасибо громадное!
что значит повторите логи?

Добавлено через 1 минуту 59 секунд
АВГ и Касперсий, нужно оставить кого-то одного
имелось ввиду АВЗ?

 

[akok]

laktur, имеется в виду повторить все шаги для получения нового комплекта логов (необходимо проконтролировать удаление).

АВГ и Касперсий, нужно оставить кого-то одного
имелось ввиду АВЗ?

Нет, в логах заметны остатки антивируса AVG.

 

[laktur]

новые логи

 

[laktur]

да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ

 

[akok]

Acrobat 5.0 - обновите до версии Acrobat 9.х

да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ

Понятно. Значит, уйдем от традиционной медицины.


Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\sysio.exe
C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\672.exe
C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\699.exe
c:\windows\waw32.exe
C:\WINDOWS\taskmrg32.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее можно прочитать в руководстве

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

[laktur]

не отключается total security version 4.52
и блокирует запуск всех программ, пишет file is infected

 

[akok]

не отключается total security version 4.52
и блокирует запуск всех программ, пишет file is infected

Всех? MBAM, ComboFix, OTM?

Давайте попробуем запустить полиморфную версию AVZ

Добавлено через 6 минут 28 секунд
Если запустится, то выполните скрипт.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User.COMP\Application Data\elefundesktops\_wallpaper\wallpaper.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acedrv11.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\nplzqgxu.sys','');
 DeleteFile('c:\windows\waw32.exe');
 DeleteFile('c:\documents and settings\all users.windows\application data\18450784\18450784.exe');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\18450784\18450784.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3147116714-4690959723-530169093-6146\mwau.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к своей теме с карантином.

Повторите логи полиморфной версии AVZ.

Добавлено через 8 часов 7 минут 39 секунд
Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

[laktur]

Здравствуйте!!!...в ходе тяжелих и изнурительных боев на протяжении 8часов..всетаки удалось отключить Total Secure и провести сканрование.... OTM, Malwarebytes' Anti-Malware, ComboFix, AVZ....каждая из них постаралась на славу и нашла от 2 до 40 проблем...логи всех выше перечисленых программ шлю.. и жду от Вас ответа Gmer еще ведет тяжелые бои поетому отправлю завтра

 

[akok]

Проверьте на www.virustotal.com (ссылки на результаты анализа запостите в этой теме)

c:\program files\_DEISREG.ISR
c:\windows\system32\drivers\ubohci.sys
c:\windows\system32\drivers\ubsbp2.sys
c:\windows\system32\Adobe\Shockwave 11\nssstub.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\Drivers\nplzqgxu.sys
c:\windows\system32\drivers\gzasrmsn.sys
G:\damrnj.exe
G:\LaunchU3.exe
c:\windows\is-TD4HN.exe
c:\windows\system32\drivers\uzmzmjex.sys
c:\documents and settings\User.COMP\khgugi.exe
c:\documents and settings\NetworkService.NT AUTHORITY\ihcfxdy.exe
NetSvc:: 
yycgkn
mxtnvdu
oamzon

Driver::
nplzqgxu
gzasrmsn
yycgkn
mxtnvdu
oamzon
Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8910:TCP"=-
FileLook::
c:\windows\system32\drivers\gzasrmsn.sys
c:\windows\system32\drivers\tcpip.sys
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[laktur]

Еще раз здравствуйте! вото только закончил сканирование Gmer вотего лог..

 

[akok]

laktur, хорошо. Комбофикс показал все. Жду лог после выполнения рекомендаций.

 

[laktur]

Вот етот последний

 

[akok]

Дочистим следы.

Как самочуствие?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gzasrmsn.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nplzqgxu.sys]
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Я еще жду результаты анализа на www.virustotal.com