Показано с 1 по 18 из 18.

Набор вреда (заявка № 43768)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31

    Thumbs up Набор вреда

    После переустановки ОС долго жил без постоянного антивируса. После установки KIS7 нашёл массу всего. Например, autorun.inf и h.cmd на всех локальных дисках. Что-то почистилось, но, видимо, не всё... В один момент обозначился сбой в Сетевом фильтре KIS7. Почти сразу заблокировалась Windows (с просьбой о cms с текстом 4111783973 на номер 3649). Перепугался! Странно, но простое нажатие на кнопку выключения ПК временно (до перезапуска ПК) отключало это всплывающее окно. После обнавления KIS7 и полного сканирования, а потом и удаления вреда это всплывающее окно перестало появляться вообще. Но до сих пор после перезагрузки KIS7 находит New threat (modificator): Hidden.Object в system32\<длинный набор букв.sys>. Удаляю и всё по-новому... Заметил, что что-то все время пытается подключиться к интернет. После, видимо, удачной попытки KIS7 предложил лечить Explorer.exe, после чего исчезла панель задач. Переключение между окнами производил с помощью Диспетчера задач, в котором, случайно обратил внимание на дублирование процесса rundll32.exe. Так же неожиданно произошло востановление. Не нравятся мне такие чудеса.
    Подозрительные файлы на мой взгляд в system32\ : kgwmjtbp.dll, rlwzqc.dll, aptwhhhg.dll, qoMgeEvv.dll, xxyWOFVB.dll, urqOgfeB.dll, pbtjmwgk.ini, PVFOWyxx.ini, PVFOWyxx.ini2, bb0bc2bc-.txt.
    Помогите, пожалуйста!..
    Вложения Вложения
    Последний раз редактировалось ДимДимыч; 14.04.2009 в 04:05.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
     QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
     QuarantineFile('C:\WINDOWS\system32\rlwzqc.dll','');
     QuarantineFile('C:\WINDOWS\system32\rbavpsus.dll','');
     QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll','');
     QuarantineFile('C:\WINDOWS\system32\kjhbri.dll','');
     QuarantineFile('C:\WINDOWS\system32\kgwmjtbp.dll','');
     QuarantineFile('C:\WINDOWS\system32\jsoyisea.dll','');
     DeleteFile('C:\WINDOWS\system32\jsoyisea.dll');
     DeleteFile('C:\WINDOWS\system32\kgwmjtbp.dll');
     DeleteFile('C:\WINDOWS\system32\kjhbri.dll');
     DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\rbavpsus.dll');
     DeleteFile('C:\WINDOWS\system32\rlwzqc.dll');
     DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
     DelBHO('{8520dd7b-7036-4a28-ae91-f95f163d4bc8}');
     DelBHO('{7782CA99-17EB-40E5-925C-7EFB313BDC5B}');
     DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=43768).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Вчера, уже после составления запроса на VirusInfo, снова обновил KIS7 и провёл быстрое сканирование. Был обнаружен и удалён hlncaugk.exe.
    Сегодня после запуска ПК KIS7 снова обнаруживает Running process: C:\Windows\Explorer.EXE (PID:780), Intended address: http://disinfected: Hidden data sending. Проявляется открытием окна IE и попыткой подключения к интернет.
    Пофиксил в HijackThis.
    Выполнил Ваш скрипт в AVZ.
    Присылаю карантин и новые логи.
    P.S. Спасибо за оперативность!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.04.2009 в 14:53.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys','');
     QuarantineFile('qoMgeEvv.dll',''); 
     QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll',''); 
     QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
     QuarantineFile('C:\WINDOWS\system32\ucakzj.dll','');
     QuarantineFile('C:\WINDOWS\system32\ebrvsiqv.dll','');
     QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
     DeleteFile('C:\WINDOWS\system32\ebrvsiqv.dll');
     DeleteFile('C:\WINDOWS\system32\ucakzj.dll');
     DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
     DeleteFile('qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys');
     DelBHO('{7041EC89-0D41-4835-8A15-2945302A1EDC}');
     DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
     DelBHO('{65e24cf0-76a6-49f6-b710-a082f7d7e1f2}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Здравствуйте, добрые волшебники!
    Мой отчёт: При запуске ПК KIS7 обнаружил и удалил Trojan-Downloader.Win32.FraudLoad.vohb
    (c:\windows\system32\kdqweote.exe) и ещё 6-ть New threat (modification): Hidden.Object
    (c:\windows\system32\ovfshlog.dat; c:\windows\system32\ovfshlog<набор букв>.dat - два;
    c:\windows\system32\ovfshlog<набор букв>.dll - три). Произвел перезагрузку для их полного(?) удаления. В момент загрузки личных параметров ПК сам перезапустился. Произвёл быстрое сканирование KIS7 - чисто.
    Далее выполнял по порядку поручения Rene-gad. После выполнения скрипта и перезагрузки ПК выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Очистил темп-папки. После выполнения перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил первый скрипт и после перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил другие два скрипта. Логи и запрошенный карантин посылаю. Да, кстати, запустился внутренний Сетевой экран KIS7 (всё это время показывающий ошибку), но не позволяет выходить ни на какие сайты - что-то с настройками?.. Пришлось временно его отключить и включить Виндовский.
    Еще информации (через два часа): Обновил KIS7, запустил быстрое сканирование. Обнаружен и удалён Adware.Win32.SuperJuan.tls (c:\windows\system32\mwojtfdm.dll ). На сегодня всё.
    Вложения Вложения
    Последний раз редактировалось ДимДимыч; 15.04.2009 в 00:57.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [b02806c2] rundll32.exe "C:\WINDOWS\system32\ebrvsiqv.dll",b
    O20 - Winlogon Notify: qoMgeEvv - C:\WINDOWS\
    Больше ничего подозрительного не видно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Сделал всё, как прописал Bratez. Прикрепляю логи.., чтоб наверняка. Вопросы если эти логи будут чисты:
    - можно ли эти логи хранить, как "эталон" и под них зачищать последующие;
    - что делать с файлами карантина.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    C:\WINDOWS\system32\ucakzj.dll - пришлите согласно приложения 3 правил (только его )

  10. #9
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Пожалуйста, файл отправляю. Что дальше. Я ещё не получил ответы на предыдущие вопросы, пожалуйста.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ucakzj.dll ');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ....

    ЗЫ насчет "вопросов"
    1 нет
    2 естественно можно удалить

  12. #11
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Всё сделал.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    кроме отсутствия обновлений , пока ничего плохого ....

  14. #13
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Обновлений чего?..

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    windows

  16. #15
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    [QUOTE= пока ничего плохого ....[/QUOTE]
    Высока вероятность?..

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    не обновите систему , это продлиться не долго ...

  18. #17
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    31
    Всем спасибо! Всего хорошего! Пошёл обновляться...

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,520
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 34
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ovfsthfqonbmlwmirbegnv xwwbmulnosthrswp.sys - Trojan.Win32.Tdss.zks ( DrWEB: BackDoor.Tdss.115 )
      2. c:\windows\system32\ebrvsiqv.dll - Trojan.Win32.Monder.bzrp ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      3. c:\windows\system32\jsoyisea.dll - Trojan.Win32.Monder.bzrp ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      4. c:\windows\system32\kgwmjtbp.dll - Trojan.Win32.Monder.bzic ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      5. c:\windows\system32\kjhbri.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      6. c:\windows\system32\qomgeevv.dll - Trojan.Win32.Monderb.apud ( BitDefender: Gen:Trojan.Heur.Vundo.207986A6A6 )
      7. c:\windows\system32\rbavpsus.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      8. c:\windows\system32\rlwzqc.dll - not-a-virus:AdWare.Win32.SuperJuan.tlj ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      9. c:\windows\system32\ucakzj.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      10. c:\windows\system32\xxywofvp.dll - Trojan.Win32.Monder.bzuv ( DrWEB: Trojan.Virtumod.855, BitDefender: Gen:Trojan.Heur.Vundo.E0B9466666 )


  • Уважаемый(ая) ДимДимыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Наборчик вирусов
      От Monolith в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.06.2009, 12:10
    2. Стандартный набор
      От turtle в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:49
    3. Полный набор
      От TuMka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.03.2008, 22:12
    4. Kernel Patch Protection: больше вреда, чем пользы?
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 19.08.2006, 11:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00685 seconds with 23 queries