Решена Вирус - логи

[x-disa]

Здравствуйте уважаемые форумчане!
Первый раз столкнулся с такой сложностью вирусы какие то!
антивирусники не помогают ни Dr.Web CureIt ни Virus Removal Tool от лаб.касперского
Помогите пожалуйста!
логи прилагаю!
заранее спасибо!!


А да видел Backdoor.win32.cetorp.p; Packed.win32.katusha.o; Worm.win32.AutoRun.cjzh; Worm.win32.AutoRun.ckan
и на сайт касперского не пускает...

 

[Sfera]

5 минут, пожалуйста, посмотрю логи

Добавлено через 21 минуту 9 секунд
x-disa, привет)

Проверьте сами на http://www.virustotal.com файл

C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys

ссылку на результат запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Documents and Settings\Администратор\ctfmon.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\5D.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\5B.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\6D.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\6B.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1C27.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1C25.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\F0.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\231.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\213.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\209.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\201.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1E5.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1DC.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1D2.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\1A4.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\123.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\8C.tmp','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\8C.tmp');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\123.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1A4.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1D2.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1DC.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1E5.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1E9.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\201.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\209.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\213.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\231.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\8.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\F0.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1C25.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\1C27.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\6B.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\6D.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\5B.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\5D.exe');
 DeleteFile('C:\Documents and Settings\Администратор\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fmpkpp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(8);
 ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Скачайте и установите критические обновления windows

Сделайте повторные логи AVZ + RSIT +HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

 

[akok]

В карантине:
C:\Documents and Settings\Администратор\Application Data\Fmpkpp.exe - Worm.Win32.AutoRun.ckem (Win32.HLLW.Autoruner.51456)

C:\Documents and Settings\Администратор\Application Data\8C.tmp - Worm.Win32.AutoRun.ckem (Win32.HLLW.Autoruner.51456)

 

[x-disa]

Привет!
К сожалению не могу выйти на сайт http://www.virustotal.com поэтому файл не отправил, видимо вирус блокирует.
остальное все сделал
только виндоус не обновил т.к. у меня нет лицензии.

 

[Sfera]

минуту, отвечу

удалите в МВАМ

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Зараженные папки:
c:\WIN\DOWS (Backdoor.IRCBot) -> No action taken.

Зараженные файлы:
c:\documents and settings\администратор\мои документы\downloads\avz4\avz4\quarantine\2011-06-08\avz00001.dta (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\администратор\мои документы\downloads\avz4\avz4\quarantine\2011-06-08\avz00002.dta (Spyware.Passwords.XGen) -> No action taken.
c:\NEXT\FILES\Desktop.ini (Trojan.Buzus) -> No action taken.
c:\WIN\DOWS\desKtOp.InI (Backdoor.IRCBot) -> No action taken.

смените пароли!

и я жду контрольные логи AVZ+RSIT+HijackThis

Пуск-Выполнить вводим

route -f

нажимаем ОК и перезагружаем комп. Проверяем вход на http://www.virustotal.com

 

[x-disa]

Вопрос: какие пароли сменить?
Все сделал логи прилагаю rsit почему то один сделал!
сайты http://www.virustotal.com и касперского юзаются!

 

[Severnyj]

Вопрос: какие пароли сменить?

Все почта, аська итп

 

[Sfera]

x-disa, смотрю, отвечу

 

[x-disa]

понятненько по паролям! (озадачили)

 

[Sfera]

Обновите Internet Explorer до IE8 даже, если им не пользуетесь

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

В логах чисто, что с проблемой?

 

[x-disa]

Спасибо большое!
Все сделаю!
сейчас проверю отпишусь по проблеме!
по первым впечатлениям вроде все норм.

Но подсказывает мне сердце что к Вам я еще вернусь т.к.
это у меня ноут но как вернусь домой то стационарный комп надо пролечить
т.к. он сильно глючит и тупит!

так что прощаться не буду

 

[Sfera]

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

приходите) полечим.. только отдельную тему создайте для домашнего пк

 

[x-disa]

Спасибо большое!
Все сделал! по проблеме пока проверяю но по первому впечатлению все впорядке!
Хотя и по второму тож!

Но думаю не стоит прощаться т.к.
это у меня ноут, а дома стационарный комп глючит и тупит сильно но вирусов нет говорит! вот вернусь с командировки и к Вам опять!

чуть позже отпишусь по проблеме!

Добавлено через 2 минуты 8 секунд
ну само собой там будет отдельная тема! наверное побольше чем эта !