Атаковали автораны

[Nekromant]

Доброго времени суток!
Надоели автораны, все флэшки перезаражали. Зашёл бы раньше, да какой-то зверь заблокировал ваш сайт, не сразу догадался, что это умышленно. Сейчас прописал ваш ip в ...\drivers\etc\host, вроде стали пускать
Прилагаю логи, правда сделаны давнишней версией avz

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\sxmg4.rar','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe');
 DeleteFile('C:\WINDOWS\system32\sxmg4.rar');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(1);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513

3. Повторите логи.

Добавлено через 1 минуту

Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

[Nekromant]

Направил карантин, сделал логи, а вот с гмером неприятность. просто не запускается. Попытался скачать заново - не пускают на сайт. Прописал в host ip, скачал, запустил - через секунду вылетает. Раньше прекрасно работал...

[Nekromant]

Анекдот почти в тему:
-Доктор, помогите, меня все игнорируют!
-Следующий!!!
Так что с гмером-то делать??? Кто-нибудь в курсе?

[Aleksandra]

Так что с гмером-то делать??? Кто-нибудь в курсе?

Попробуйте это http://virusinfo.info/showthread.php?t=41675

После, не перегружая машину сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

Добавлено через 7 минут

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Максим\sxs32.exe');
 QuarantineFile('c:\documents and settings\Максим\sxs32.exe','');
 QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp','');
 QuarantineFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp','');
 QuarantineFile('C:\Documents and Settings\Максим\М.rar','');
 DeleteFile('c:\documents and settings\Максим\sxs32.exe');
 DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don2.tmp');
 DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\don3.tmp');
 DeleteFile('C:\Documents and Settings\Максим\М.rar');
 DeleteFileMask('%tmp% ','*.* ',true );
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(1);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513

3. Повторите логи.

[Nekromant]

Sorry, Aleksandra! Больше не буду обзываться!
Хотя согласитесь, подействовало!
Насчёт гмера допёр сам, наткнувшись на тему drongo насчёт переименования антивирусов. (мои эксперименты видно в логах - gmer2 и проч.). Помогло только полное переименование, на смену расширения не реагировал.
Но короче. Скачал kkiller, прогнал. Запустил гмер, не дождался окончания, заснул.
Прилагаю карантин и логи.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('bluqxs');
 QuarantineFile('C:\WINDOWS\system32\qwdepa.dll','');
 DeleteFile('C:\WINDOWS\system32\qwdepa.dll');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs','Description');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\bluqxs');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('bluqxs');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513

3. Повторите лог Gmer.

[Nekromant]

Это снова я.
Последние сутки с компом творилось что-то непонятное.
После выполнения предоженного скрипта компьютер отказался перегружаться, пришлось его выключить насильно. Затем начались старые проблемы - оригинальный gmer не запускался, переименованный сигнализировал красным, что bluqxs по прежнему в системе. Карантин avz оказался пустым (прилагаю). Плюс ко всему не было выхода в интернет, только на яндекс и ещё на пару сайтов. Сегодня с третьего раза удалось сделать все логи, и заработал интернет. Кстати, если раньше на выполнение стандартноых скриптов уходило не больше 20 минут, то теперь гмер тратит 4(!!!) часа, avz скрипты 2 и 3 выполняет по часу. Короче, посмотрите логи, если время будет...

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q','');
 QuarantineFile('C:\WINDOWS\system32\wpv331230374798.cpx','');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\csrs.exe.q_8043166_q');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\sxmg4.dll.q_8048400_q');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\SecTaskMan\winpad23.exe.q_D565200_q');
 DeleteFile('C:\WINDOWS\system32\wpv331230374798.cpx');
 DeleteFileMask('%tmp% ','*.* ',true );
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44513

3. Повторите логи.

[Nekromant]

направил карантин, компьютер натужно перегрузился (за 3 мин.)
Сделал логи (уже быстрее - минут по двадцать на каждый)

[Aleksandra]

Что с проблемами?

[Nekromant]

А что, уже закончили?
я только начал...
Вроде всё ок, thank you...
если что увижу, напишу...

[Aleksandra]

1. Рекомендую сделать полную проверку компьютера с помощью AVPTool.

2. Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

[Nekromant]

Sorry за глупый вопрос - диски при выполнении скрипта №4 помечать? Если да, то за "0,5-2 мин" не управиться, полчаса минимум...
В общем, по сообщениям нашёл avz у меня и sxs32.exe, и кувэдепу эту несчастную (qwdepa.dll), а потом выпал без объяснения... Мне продолжать? Завтра продолжу, спать пора.
А на AVP трафика не хватает качать, у меня не анлим...

[Nekromant]

Cyberhelper'у карантин отправил, посмотрим, что скажет.
Прогнал "Касперского для Яндекс.Онлайн", тот ничего серьёзного не накопал.
Прицепил логи, поглядите опытным взглядом, может чего не так...
sxs32.dll и qwdepa.dll удалил ручками.
Cyber даёт добро

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Максим\Local Settings\Temp\Temporary  Internet Files\Content.IE5\KXABC1ER\sxs[1].exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

[Nekromant]

Доброго времени суток, это опять я!
Пять дней провайдер не пускает в интернет по ADSL, пришлось достать старый модем и вспомнить молодость
Прикрепил логи. Вроде бы пока всё чисто...

[Гриша]

Прикрепите недостающий лог...

[Nekromant]

Прошу прощения за медленную реакцию...
Сделал все логи по-новой

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\максим\local settings\temp\don2.tmp - Trojan-Ransom.Win32.Blocker.ae ( DrWEB: Trojan.Winlock.55 )
  2. c:\documents and settings\максим\local settings\temp\don3.tmp - Trojan-Ransom.Win32.Blocker.ae ( DrWEB: Trojan.Winlock.55 )
  3. c:\documents and settings\максим\sxs32.exe - Trojan.Win32.Pakes.njl ( DrWEB: Trojan.Packed.162, BitDefender: Packer.Krunchy.A )
  4. c:\documents and settings\максим\м.rar - Worm.Win32.AutoRun.fhw ( DrWEB: archive: Win32.HLLW.Lime.3 )
  5. c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\sndrv.exe - Trojan.Win32.Pakes.njq ( DrWEB: Trojan.Packed.162, BitDefender: Packer.RLPack.D )
  6. c:\windows\system32\sxmg4.rar - Trojan-Downloader.Win32.FraudLoad.vdjm ( DrWEB: archive: Trojan.Fakealert.3765, BitDefender: Trojan.Spy.Nucals.AC )
  7. c:\windows\system32\wpv331230374798.cpx - Trojan-Downloader.Win32.Injecter.bhi ( DrWEB: Trojan.DownLoad.26718, BitDefender: Trojan.Generic.1266132 )