Решена Вирус придавил Касперского :(((((

[Потерпевшая]

Помогите, пожалуйста. Завелась какая-то дрянь, Касперский выдаёт сообщения о подозрительных процессах, вот только в опциях предлагает разрешить и внести в исключения и всё . Сообщает о попытках перехвата с клавиатуры и несанкционированных подключениях. При проверках через раз зависает.

 

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\dll.dll','');
 DeleteFile('C:\WINDOWS\system32\dll.dll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Повторите логи.

IP - 85.255.116.165;85.255.112.122 - Ваши?

 

[Потерпевшая]

в истерике

Спасибо большое за ответ
Капантин выслала, IP не мои, у меня вообще-то динамические, но ведь провайдеровская часть же не изменяется? (83.35.25) Тем более что на момент сканирования комп был физически отключён от сети . От таскания логов на флешке заразился второй комп в сети (понимаю, что следовало ожидать, но что было делать?) Причём на втором тут же упали винды, хоть и все операции производились через ограниченого пользователя....
Реально ли в такой ситуации сохранить хотя бы файлы на заражённых компах (бог с ним с системным диском)? Очень много важного и личного :hysteric:
Ещё раз спасибо.

 

[ТроПа]

Станно карантин не получал.
отправьте ещё раз, пожалуйста.

85.255.116.165
Хост недоступен

85.255.112.0 - 85.255.127.255

UkrTeleGroup Ltd.
Ukraine

Mechnikova 58/5 65029 Odessa
к Одессе имеете отношение?

Вы антивирус отключаете при выполнении скриптов в АВЗ?
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\dll.dll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Включите в АВЗ AVZPM и повторите логи.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

[akok]

Потерпевшая, второй комп запустите из под имени администратора...заловред не смог нормально развернутся вот и систему положил. И готовьте логи с оного (второго компьютера).

Если его возможно запустить в любом режиме.

 

[akok]

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

[Потерпевшая]

Станно карантин не получал.
отправьте ещё раз, пожалуйста.

Отправила ещё раз с русской почты

85.255.116.165
Хост недоступен

85.255.112.0 - 85.255.127.255

UkrTeleGroup Ltd.
Ukraine

Mechnikova 58/5 65029 Odessa
к Одессе имеете отношение?

Да ни боже мой! :scaut: Э-эх, пусть одесские кул-хацкеры подавятся моими паролями к кухонным форумам!

Вы антивирус отключаете при выполнении скриптов в АВЗ?

Да, конечно. Винды верещат об отключении антивируса и файервола, так что они точно выключены.
Майкрософт консоль мне не отдаёт почему-то. Говорит невозможно загрузить страницу

 

[Потерпевшая]

Это логи после скрипта

 

[Потерпевшая]

Это логи RSIT. Можно я пока не буду второй трогать? Чесное слово - страшно представить, как всё одновременно расковыривать (((

 

[akok]

Интересный зловред
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\telek\DSDrv4.sys','');
 QuarantineFile('\systemroot\system32\drivers\msqpdxpxoeoipa.sys','');
 DeleteFile('\systemroot\system32\drivers\msqpdxpxoeoipa.sys');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CCS\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CDB2B5A-992A-4E57-BA75-CA5CEC8F6230}: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CS3\Services\Tcpip\..\{20E1CB87-5CBE-4A64-954A-FC8FE1CA18B3}: NameServer = 85.255.116.165;85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.165;85.255.112.122

Давайте логи ComboFix и RSIT и повторите логи AVZ.


Да, возможно Вам прийдется востановить настройки интернета, те которые предоставил провайдер.

 

[Потерпевшая]

Упс...

Я всёж-таки нашла консоль и запустила Combo Fix, не дождавшись немного. И он похоже зловреда, того, придушил :yess:
Пока прилагаю его лог. Скрипт теперь выполнять? Или ещё каки-нибудь логи нужны?
Пасибище огромное! (При работе действительно снёс все прописанные ДНС сервера и уничтожил почтовую базу Бэта - ну да ничего, фуф!)

 

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\WINDOWS\system32\drivers\msqpdxserv.sys
FileLook::
C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[Потерпевшая]

Это лог комбо-фикса. Вот только в папке temp из local settings осталось около десятка неубиваемых файлов. Их даже Ice sword не берёт. Это плохо?
Называются jar_cache46973.tmp и так далее по порядку 16 файлов. И ещё toolbox_healer46982.log

 

[akok]

Это последствия работы java машины установленной на Вашем компьютере

 

[akok]

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

[Потерпевшая]

Докладываю:
Ещё одни логи RSIT я прилагаю (вроде раньше нужно было, или я чего путаю?)
После дезинсталляции Combofix осталась только папка Combo fix с двумя архивами без расширений (или надо было сначала запаковать папку а потом дезинсталировать? Извините, ради бога, за тупость )
Эти архивы потом изничтожил Malwarebytes' Anti-Malware... А это его логи:

Malwarebytes' Anti-Malware 1.31
Версия базы данных: 1501
Windows 5.1.2600 Service Pack 3

15.12.2008 16:16:41
mbam-log-2008-12-15 (16-16-41).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|)
Проверено объектов: 107935
Прошло времени: 28 minute(s), 53 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\System Volume Information\_restore{02CD3681-FCFA-4101-BD04-2FD2627FC49C}\RP820\A2144913.exe (Malware.Tool) -> Quarantined and deleted successfully.
D:\utilites\Firefox\components\iamfamous.dll (Spyware.Passwords) -> Quarantined and deleted successfully.

 

[akok]

Моя вина...немного спутал очередность выполнения действий.


Как самочуствие пациента?

Обновите java, установите IE7, система использует этот браузер, даже если Вы пользуетесь альтернативным.

И для очищения совести проверьте на http://www.virustotal.com файл:
C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

 

[Потерпевшая]

Яву обновила, а вот IE7 устанавливаться не захотел... (Мда, явно Майкрософт меня не любит :mda
Самочувствие вроде нормальное, без симптомов. Только при загрузке осталась строка отладчика Combofix. А, и указанного файла на диске не обнаружилось
Вот, докладываю логи, если всё окажется в порядке (тьфу, тьфу, тьфу) - завтра возьмусь за следующего пострадавшего.
Ой, да! А можно теперь Касперским обратно пользоваться как постоянным антивирусом?
Спасибо Вам огромное, за помощь и потраченное на меня время :tender:

 

[akok]

Это не отладчик, это консоль востановления OTCleanIt - запускали? Эта утилитка должна удалить остатки программы.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\NOS\bin\getPlus_HelperSvc.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Попробуем файл получить таким способом. Если его нет, то удалим следы.

 

[Потерпевшая]

Сделано
Скрипты выполнены, карантин отправлен
OTCleanIt запускала после дезинсталяции. Он-то стало быть и "доел" те два странных файла . Консоль в общем не мешает, только мелькает при загрузке. Может потом в критических случаях пригодится