• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на RootKit

Статус
В этой теме нельзя размещать новые ответы.

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
В принципе, все в названии.
До этого прошелся AdwCleaner и ClearLNK.
Ноут немецкий, пишу методом тыка:)
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Здравствуйте!

Код:
eBay Worldwide [20141017]-->MsiExec.exe /I{D3E5A972-9A15-427D-AE78-8181A5FD943C}
Знакомо? Если нет, то деинсталировать.
Google Toolbar for Internet Explorer [20141023]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2015/02/28 19:52:24]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_BA9226F4C70BECC2.exe" /uninstall
Google Update Helper [20141115]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20150206]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Movies Search App for Chrome [2015/03/05 16:16:04]-->C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\GC\uninstall.exe /UN=CR /PID=LVD2-DTX /PCD=IMH
Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.) [2015/03/05 16:15:59]-->C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\uninstall.exe /UN=IE /PID=LVD2-DTX /PCD=IMH
если не используется, тоже в топку.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp');
TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp');
TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp');
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp');
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp');
TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
StopService('juqisyxe');
StopService('tuvoqyby');
StopService('sibehylo');
QuarantineFile('C:\Users\dami\AppData\Local\Pay-By-Ads\Yahoo!', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '');
QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '');
QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '');
QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '32');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '32');
DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '32');
DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '32');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '32');
DeleteFile('C:\Windows\system32\cpuminer-gw64.exe', '32');
DeleteService('juqisyxe');
DeleteService('tuvoqyby');
DeleteService('sibehylo');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cpuminer');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
eBay Worldwide тупо не удаляется. Что-то пишет на немецком, разрешение на действия запрашивает, но продолжает в установленных висеть.
Google Toolbar for Internet Explorer, Movies Search App for Chrome, Movies Search App for Internet Explorer удалил.
Google Update Helper не нашел.
Сейчас все остальное сделаю.
Готово.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('byrisiwo', 4);
StopService('byrisiwo');
QuarantineFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '');
QuarantineFileF('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
QuarantineFile('C:\Program Files (x86)\QuickRef_1.10.0.9\Service\qrsvc.exe', '');
QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys', '');
QuarantineFile('C:\Windows\system32\BDL.dll', '');
DeleteFile('C:\Windows\system32\BDL.dll', '32');
DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys', '32');
DeleteFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '32');
DeleteService('byrisiwo');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yahoo! Search');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
До послезавтра к ноуту доступа не имею, послезавтра все сделаю.
З.Ы.: А кто это так интересно в начале AVZ'шных логов светился?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
Извиняюсь за долгое отсутствие. Сам уже про него забыл, и хозяин молчит.
Хм.. После выполнения скрипта AVZ и перезагрузки браузеры в интернет перестали ходить. В cmd пинг до google.com и safezone.cc проходит.
Вот логи без MBAM.
C:\Windows\system32\BDL.dll
Вот кого системе не хватает. Сейчас попробую найти его где-нибудь, а то MBAM не может базы обновить.
 

Вложения

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
Сам про это подумал :)
Восстановил. Интернет вернулся :)
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
Так MBAM без него не обновлял базы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
делайте пока скрипт AVZ достачно даже только второй стандартный, напишем скрипт - дочистит остатки (хвосты в LSP) и интернет заработает, а потом продолжим остальное.
Так MBAM без него не обновлял базы.
а на этот случай тут в ресурсах есть зеркало с обновлением баз. Обновляется каждый день.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
Да теперь уже опять до понедельника перерыв.
Кстати, это что-то новое? Всего 3 детекта на ВТ.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу