Трояны-заражение

[LamBerT]

Недавно взломали асю (2 дня назад). Подозреваю что троем вскрыли, его я не нашел просканил
всю систему на том и успокоился. И сегодня с утра пошло поехало вирус за вирусом...
Win32:Small - EPJ[Trj]
Win32:Agent - LYK[Trj]
Win32:Agent - KIR[Trj]
Посстаянно выдает что идет соединение на котором заражение и выдает странные адреса.
Комп постоянно ребутится самостоятельно... вот только в сейв моде смог подержать его
подольше и запусть сканер AVZ и HJ.
Помогите пож-та. Зарание благодарен.
Логи:

Вложение 19656
Вложение 19657

[PavelA]

virusinfo_syscure.zip нужен. Карантин отсюда надо убрать.
Логи посмотрю.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
 QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('c:\windows\system32\drivers\Acqr67.sys','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll','');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll');
 DeleteFile('c:\windows\system32\drivers\Acqr67.sys');
 DeleteFile('C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis (что останется):

Код:

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Fenix\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll

Обновите базы AVZ.
Сделайте новые логи в нормальном режиме.

[PavelA]

ConnectionServices просто можно деинсталлировать.

[LamBerT]

Что написали сделал, щас вывешу логи... помогло. СПАСИБО.
Базы обновил. правда моему Avast'у что-то там не понравилось в папке с AVZ... выдал 2 троя.
Что добавлять в карантин?

Тогда погодите отрублю и сново прогоню...

[PavelA]

На время проверок антивирус надо отключать, а то он нашу добычу съест.

Грузи весь карантин через http://virusinfo.info/upload_virus.php?tid=13104
См. приложение 3 Правил.

[LamBerT]

Новые логи:

Вложение 19710

Вложение 19711

Вложение 19712

Карантин отправил.
071011_094700_virus_470e37645dbff.zip

Всем еще раз огромное спасибо!=)

[PavelA]

Выплыл еще один.
Выполнять в защищенном режиме:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_deleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_Activate;
RebootWindows(true);
end.

Добавлено через 2 минуты

На асе пароль сменил?

[LamBerT]

Скрипт выполнил.
Обновленные логи:

Вложение 19713

Вложение 19714

Вложение 19715

Старый уин аси ради прикола кто-то вскрыл и сменил пароль, потому как на продажу 9-знак самый обычный явно не тянет, жалко просто 2 года на ней сидел ни разу даже намека не было, все меня под ней знали, примак не ставил, не думал, что может понадобиться... а как еще вернуть не знаю... пароль не подходит, из поддерки ась-кью ответа нет. Пароли сменил везде поставил 16-знак-букв-символ (на асю 8 ) =))))

[PavelA]

Просто фантастика! Одного убиваешь на его место два новых залетает.

почисти временные файлы Инета. Ни на один сайт пока не ходи.
Сейчас еще парочку удалять будем, опять же в защищенном режиме.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 Clearquarantine;
 QuarantineFile('\SystemRoot\System32\Drivers\augyrxkd.SYS','');
 QuarantineFile('C:\WINDOWS\system32\kprof','');
 QuarantineFile('C:\WINDOWS\system32\poof','');
 BC_Deletefile('C:\WINDOWS\system32\poof');
 BC_Deletefile('C:\WINDOWS\system32\kprof');
 BC_DeleteSvc('poof');
 BC_Deletesvc('kprof');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Затем сделать новые логи
и загрузить карантин, куда положено.

[LamBerT]

Вынужден отойти на 15-20 минут.
мдя... кролики блин что ли!?
Напишите пока что сдеалть пож-та...

Добавлено через 5 минут

Может быть где-то что-то на других дисках засело и распространяется, я ведь только системынй сканю...

Скрипт выполнил. логи
Вложение 19729

Вложение 19730

Вложение 19731

Карантин еще раз закинуть?

[drongo]

C:\Program Files\PremiumSoft\Navicat MySQL\navicat.exe.BAK- Trojan-Dropper.Win32.Delf.ahf (kaspersky)
загрузчик троянов- пока не удалите- можно только новых ждать

[LamBerT]

А что мне с ним делать-то?

[drongo]

А что мне с ним делать-то?

удалить советую на всякий случай просканировать касперским как указано в правилах , может ещё какие большие проги заражены. Только другие антивирусы удалить.

[LamBerT]

Да я уже удалил свой аваст и поставил Касперского интернет секьюрити и сканю уже еще 3 часа скана... правда зараза ключик требует а поможет ли удаление?

[Muzzle]

Вы какую версию установили?есть пробные 30-ти дневные версии http://www.kaspersky.ru/trials
не забудьте удалить C:\Program Files\PremiumSoft\Navicat MySQL\navicat.exe.BAK.

[LamBerT]

Я поставил 7.0 - и пробник тоже=)
PavelA, фантастика, еще 12 троев ... у меня самого вопрос откуда?
Вроде все почистил... вроде нормально... логи:
Вложение 19751
Вложение 19752
Вложение 19753

Если что напишите я каратин вышлю, если надо....

[Muzzle]

Пришлите zavet.mp3 ,он уже попал в карантин

Что из этого вам нужно?остальное пофиксим

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[PavelA]

Я поставил 7.0 - и пробник тоже=)
PavelA, фантастика, еще 12 троев ... у меня самого вопрос откуда?

Сказали же: дроппер сидел. Работал в полную силу.

[LamBerT]

Карантин, как просили выслал...
071012_034636_virus_470f346c3b908.zip

А скажите, пож-та сейчас-то логи чистые?

P.S.
Хочу еще раз всем сказать Огромное Спасибо.