• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Net-Worm.Win32.Kolab

Статус
В этой теме нельзя размещать новые ответы.

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#1
как удалить Net-Worm.Win32.Kolab
 
Последнее редактирование:

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
#2
АВГ и Касперсий, нужно оставить кого-то одного.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\msrtm32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe','');
 QuarantineFile('c:\windows\waw32.exe','');
 TerminateProcessByName('c:\windows\waw32.exe');
 QuarantineFile('c:\windows\system32\sysmgr.exe','');
 TerminateProcessByName('c:\windows\system32\sysmgr.exe');
 DeleteFile('c:\windows\system32\sysmgr.exe');
 DeleteFile('c:\windows\waw32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0725059280-5220979623-037252570-4163\mwau.exe');
 DeleteFile('C:\WINDOWS\msrtm32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Затем в АВЗ выполните
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
2.Пофиксить в HijackThis следующие строчки
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0536A7D5-62BC-426C-992C-647180FDDE0C} - (no file)
O2 - BHO: XBTB04482 Class - {086FBD6F-065A-432f-AA3E-D09594794B09} - (no file)
O2 - BHO: (no name) - {DC4E23A4-3E93-4320-AD33-CD4D2A5F0287} - (no file)
O2 - BHO: cyvlibP - {E0E2F84E-371A-4537-A0A0-902646E8ADE4} - (no file)
O3 - Toolbar: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
Архив quarantine.zip из папки с АВЗ загрузите по ссылке

В АВЗ включите AVZPM и повторите логи.
 

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#3
спасибо громадное!
что значит повторите логи?

Добавлено через 1 минуту 59 секунд
АВГ и Касперсий, нужно оставить кого-то одного
имелось ввиду АВЗ?
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#4
laktur, имеется в виду повторить все шаги для получения нового комплекта логов (необходимо проконтролировать удаление).


АВГ и Касперсий, нужно оставить кого-то одного
имелось ввиду АВЗ?
Нет, в логах заметны остатки антивируса AVG.
 

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#6
да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#7
Acrobat 5.0 - обновите до версии Acrobat 9.х

да, еще у меня загрузилась total security, которая блокирует открытие в том числе и AVZ
Понятно. Значит, уйдем от традиционной медицины.


Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\sysio.exe
C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\672.exe
C:\DOCUME~1\USER~1.COM\LOCALS~1\Temp\699.exe
c:\windows\waw32.exe
C:\WINDOWS\taskmrg32.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее можно прочитать в руководстве

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#8
не отключается total security version 4.52
и блокирует запуск всех программ, пишет file is infected
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#9
не отключается total security version 4.52
и блокирует запуск всех программ, пишет file is infected
Всех? MBAM, ComboFix, OTM?

Давайте попробуем запустить полиморфную версию AVZ

Добавлено через 6 минут 28 секунд
Если запустится, то выполните скрипт.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User.COMP\Application Data\elefundesktops\_wallpaper\wallpaper.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acedrv11.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\nplzqgxu.sys','');
 DeleteFile('c:\windows\waw32.exe');
 DeleteFile('c:\documents and settings\all users.windows\application data\18450784\18450784.exe');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\18450784\18450784.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3147116714-4690959723-530169093-6146\mwau.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив прикрепите к своей теме с карантином.

Повторите логи полиморфной версии AVZ.

Добавлено через 8 часов 7 минут 39 секунд
Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#10
Здравствуйте!!!...в ходе тяжелих и изнурительных боев на протяжении 8часов..всетаки удалось отключить Total Secure и провести сканрование.... OTM, Malwarebytes' Anti-Malware, ComboFix, AVZ....каждая из них постаралась на славу и нашла от 2 до 40 проблем...логи всех выше перечисленых программ шлю.. и жду от Вас ответа Gmer еще ведет тяжелые бои поетому отправлю завтра:)
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#11
Проверьте на www.virustotal.com (ссылки на результаты анализа запостите в этой теме)

c:\program files\_DEISREG.ISR
c:\windows\system32\drivers\ubohci.sys
c:\windows\system32\drivers\ubsbp2.sys
c:\windows\system32\Adobe\Shockwave 11\nssstub.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\Drivers\nplzqgxu.sys
c:\windows\system32\drivers\gzasrmsn.sys
G:\damrnj.exe
G:\LaunchU3.exe
c:\windows\is-TD4HN.exe
c:\windows\system32\drivers\uzmzmjex.sys
c:\documents and settings\User.COMP\khgugi.exe
c:\documents and settings\NetworkService.NT AUTHORITY\ihcfxdy.exe
NetSvc:: 
yycgkn
mxtnvdu
oamzon

Driver::
nplzqgxu
gzasrmsn
yycgkn
mxtnvdu
oamzon
Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c4c679f-a4dd-11dd-8d09-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7fa9507-55a4-11de-8f38-000a94131d5b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcfad4d1-ab1e-11dc-855c-000a94131d5b}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8910:TCP"=-
FileLook::
c:\windows\system32\drivers\gzasrmsn.sys
c:\windows\system32\drivers\tcpip.sys
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

laktur

Активный пользователь
Сообщения
8
Симпатии
0
#12
Еще раз здравствуйте! вото только закончил сканирование Gmer вотего лог..
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#13
laktur, хорошо. Комбофикс показал все. Жду лог после выполнения рекомендаций.
 

akok

Команда форума
Администратор
Сообщения
15,281
Симпатии
12,481
#15
Дочистим следы.

Как самочуствие?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\gzasrmsn.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nplzqgxu.sys]
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Я еще жду результаты анализа на www.virustotal.com
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу