Показано с 1 по 18 из 18.

Набор вреда (заявка № 43768)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58

    Thumbs up Набор вреда

    После переустановки ОС долго жил без постоянного антивируса. После установки KIS7 нашёл массу всего. Например, autorun.inf и h.cmd на всех локальных дисках. Что-то почистилось, но, видимо, не всё... В один момент обозначился сбой в Сетевом фильтре KIS7. Почти сразу заблокировалась Windows (с просьбой о cms с текстом 4111783973 на номер 3649). Перепугался! Странно, но простое нажатие на кнопку выключения ПК временно (до перезапуска ПК) отключало это всплывающее окно. После обнавления KIS7 и полного сканирования, а потом и удаления вреда это всплывающее окно перестало появляться вообще. Но до сих пор после перезагрузки KIS7 находит New threat (modificator): Hidden.Object в system32\<длинный набор букв.sys>. Удаляю и всё по-новому... Заметил, что что-то все время пытается подключиться к интернет. После, видимо, удачной попытки KIS7 предложил лечить Explorer.exe, после чего исчезла панель задач. Переключение между окнами производил с помощью Диспетчера задач, в котором, случайно обратил внимание на дублирование процесса rundll32.exe. Так же неожиданно произошло востановление. Не нравятся мне такие чудеса.
    Подозрительные файлы на мой взгляд в system32\ : kgwmjtbp.dll, rlwzqc.dll, aptwhhhg.dll, qoMgeEvv.dll, xxyWOFVB.dll, urqOgfeB.dll, pbtjmwgk.ini, PVFOWyxx.ini, PVFOWyxx.ini2, bb0bc2bc-.txt.
    Помогите, пожалуйста!..
    Вложения Вложения
    Последний раз редактировалось ДимДимыч; 14.04.2009 в 04:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.212,85.255.112.169
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
     QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
     QuarantineFile('C:\WINDOWS\system32\rlwzqc.dll','');
     QuarantineFile('C:\WINDOWS\system32\rbavpsus.dll','');
     QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll','');
     QuarantineFile('C:\WINDOWS\system32\kjhbri.dll','');
     QuarantineFile('C:\WINDOWS\system32\kgwmjtbp.dll','');
     QuarantineFile('C:\WINDOWS\system32\jsoyisea.dll','');
     DeleteFile('C:\WINDOWS\system32\jsoyisea.dll');
     DeleteFile('C:\WINDOWS\system32\kgwmjtbp.dll');
     DeleteFile('C:\WINDOWS\system32\kjhbri.dll');
     DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\rbavpsus.dll');
     DeleteFile('C:\WINDOWS\system32\rlwzqc.dll');
     DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
     DelBHO('{8520dd7b-7036-4a28-ae91-f95f163d4bc8}');
     DelBHO('{7782CA99-17EB-40E5-925C-7EFB313BDC5B}');
     DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=43768).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Вчера, уже после составления запроса на VirusInfo, снова обновил KIS7 и провёл быстрое сканирование. Был обнаружен и удалён hlncaugk.exe.
    Сегодня после запуска ПК KIS7 снова обнаруживает Running process: C:\Windows\Explorer.EXE (PID:780), Intended address: http://disinfected: Hidden data sending. Проявляется открытием окна IE и попыткой подключения к интернет.
    Пофиксил в HijackThis.
    Выполнил Ваш скрипт в AVZ.
    Присылаю карантин и новые логи.
    P.S. Спасибо за оперативность!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 14.04.2009 в 14:53.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys','');
     QuarantineFile('qoMgeEvv.dll',''); 
     QuarantineFile('C:\WINDOWS\system32\qoMgeEvv.dll',''); 
     QuarantineFile('C:\WINDOWS\system32\xxyWOFVP.dll','');
     QuarantineFile('C:\WINDOWS\system32\ucakzj.dll','');
     QuarantineFile('C:\WINDOWS\system32\ebrvsiqv.dll','');
     QuarantineFile('C:\Program Files\Unknown Device Identifier\gwiopm.sys','');
     DeleteFile('C:\WINDOWS\system32\ebrvsiqv.dll');
     DeleteFile('C:\WINDOWS\system32\ucakzj.dll');
     DeleteFile('C:\WINDOWS\system32\qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\xxyWOFVP.dll');
     DeleteFile('qoMgeEvv.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ovfsthfqonbmlwmirbegnvxwwbmulnosthrswp.sys');
     DelBHO('{7041EC89-0D41-4835-8A15-2945302A1EDC}');
     DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
     DelBHO('{65e24cf0-76a6-49f6-b710-a082f7d7e1f2}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Здравствуйте, добрые волшебники!
    Мой отчёт: При запуске ПК KIS7 обнаружил и удалил Trojan-Downloader.Win32.FraudLoad.vohb
    (c:\windows\system32\kdqweote.exe) и ещё 6-ть New threat (modification): Hidden.Object
    (c:\windows\system32\ovfshlog.dat; c:\windows\system32\ovfshlog<набор букв>.dat - два;
    c:\windows\system32\ovfshlog<набор букв>.dll - три). Произвел перезагрузку для их полного(?) удаления. В момент загрузки личных параметров ПК сам перезапустился. Произвёл быстрое сканирование KIS7 - чисто.
    Далее выполнял по порядку поручения Rene-gad. После выполнения скрипта и перезагрузки ПК выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Очистил темп-папки. После выполнения перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил первый скрипт и после перезагрузки ПК опять выкинул окно Rundll: Ошибка при загрузке c:\windows\system32\ebrvsiqv.dll (не найден указанный модуль). Выполнил другие два скрипта. Логи и запрошенный карантин посылаю. Да, кстати, запустился внутренний Сетевой экран KIS7 (всё это время показывающий ошибку), но не позволяет выходить ни на какие сайты - что-то с настройками?.. Пришлось временно его отключить и включить Виндовский.
    Еще информации (через два часа): Обновил KIS7, запустил быстрое сканирование. Обнаружен и удалён Adware.Win32.SuperJuan.tls (c:\windows\system32\mwojtfdm.dll ). На сегодня всё.
    Вложения Вложения
    Последний раз редактировалось ДимДимыч; 15.04.2009 в 00:57.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [b02806c2] rundll32.exe "C:\WINDOWS\system32\ebrvsiqv.dll",b
    O20 - Winlogon Notify: qoMgeEvv - C:\WINDOWS\
    Больше ничего подозрительного не видно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Сделал всё, как прописал Bratez. Прикрепляю логи.., чтоб наверняка. Вопросы если эти логи будут чисты:
    - можно ли эти логи хранить, как "эталон" и под них зачищать последующие;
    - что делать с файлами карантина.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\ucakzj.dll - пришлите согласно приложения 3 правил (только его )

  10. #9
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Пожалуйста, файл отправляю. Что дальше. Я ещё не получил ответы на предыдущие вопросы, пожалуйста.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ucakzj.dll ');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ....

    ЗЫ насчет "вопросов"
    1 нет
    2 естественно можно удалить

  12. #11
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Всё сделал.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    кроме отсутствия обновлений , пока ничего плохого ....

  14. #13
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Обновлений чего?..

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    windows

  16. #15
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    [QUOTE= пока ничего плохого ....[/QUOTE]
    Высока вероятность?..

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не обновите систему , это продлиться не долго ...

  18. #17
    Junior Member Репутация
    Регистрация
    29.07.2008
    Адрес
    Вологодская область
    Сообщений
    13
    Вес репутации
    58
    Всем спасибо! Всего хорошего! Пошёл обновляться...

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 34
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ovfsthfqonbmlwmirbegnv xwwbmulnosthrswp.sys - Trojan.Win32.Tdss.zks ( DrWEB: BackDoor.Tdss.115 )
      2. c:\windows\system32\ebrvsiqv.dll - Trojan.Win32.Monder.bzrp ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      3. c:\windows\system32\jsoyisea.dll - Trojan.Win32.Monder.bzrp ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      4. c:\windows\system32\kgwmjtbp.dll - Trojan.Win32.Monder.bzic ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )
      5. c:\windows\system32\kjhbri.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      6. c:\windows\system32\qomgeevv.dll - Trojan.Win32.Monderb.apud ( BitDefender: Gen:Trojan.Heur.Vundo.207986A6A6 )
      7. c:\windows\system32\rbavpsus.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      8. c:\windows\system32\rlwzqc.dll - not-a-virus:AdWare.Win32.SuperJuan.tlj ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      9. c:\windows\system32\ucakzj.dll - not-a-virus:AdWare.Win32.SuperJuan.tls ( BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )
      10. c:\windows\system32\xxywofvp.dll - Trojan.Win32.Monder.bzuv ( DrWEB: Trojan.Virtumod.855, BitDefender: Gen:Trojan.Heur.Vundo.E0B9466666 )


  • Уважаемый(ая) ДимДимыч, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Наборчик вирусов
      От Monolith в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.06.2009, 12:10
    2. Стандартный набор
      От turtle в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 04:49
    3. Полный набор
      От TuMka в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.03.2008, 22:12
    4. Kernel Patch Protection: больше вреда, чем пользы?
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 19.08.2006, 11:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00578 seconds with 20 queries