Наблюдается "приятное торможение" компа...

[vgm]

Собственно, subj.
Компьютер был замечен в попытках рассылки червей/троянов по 25 порту (заблочено на сервере).
Вот логи.

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\CnsMin.dll','');
 QuarantineFile('C:\WINDOWS\system32\xedifpdo.dll','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
 DelBHO('{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}');
 DelBHO('{FD00D911-7529-4084-9946-A29F1BDF4FE5}');
 DelBHO('{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}');
 DelBHO('{6354ABE6-05F1-49ed-B850-E423120EC338}');
 DelBHO('{5D73EE86-05F1-49ed-B850-E423120EC338}');
 DelBHO('{59BC54A2-56B3-44a0-93E5-432D58746E26}');
 DelBHO('{507F9113-CD77-4866-BA92-0E86DA3D0B97}');
 DelBHO('{BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56}');
 QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist','');
 QuarantineFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816','');
 QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail','');
 DeleteService('khkdnd');
 QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CnsMinKP.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ACPISYS.sys','');
 QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys','');
 DeleteService('00');
 StopService('00');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
 DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys');
 DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys');
 DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail');
 DeleteFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816');
 DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist');
 DeleteFile('http:\cn.widget.yahoo.com/index.htm?source=Cns');
 DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg');
 DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair');
 DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[vgm]

Доброго дня!
Карантин:
Файл сохранён как 100408_105759_quarantine_4bbd7e77f20a2.zip
Размер файла 267070
MD5 0a1d84fe29b40589d4fbc1fa6a1df2b8

И новые логи.

[vgm]

Кстати, если интересно, то сервером были заблочены попытки рассылки по следующим адресам:
64.12.90.65
64.18.4.10
64.191.203.36
65.55.37.72
69.63.176.71
74.125.148.14
205.188.155.110
209.85.211.32
Все по smtp (tcp/25).

Добавлено через 1 час 37 минут

Ребята, а продолжение будет?

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\cnsio.dll','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
 DeleteService('CnsStd');
 DeleteService('CnsMinKP');
 DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys');
 DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll');
 DeleteFile('C:\WINDOWS\DOWNLO~1\cnsio.dll');
 DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\CnsStd.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CnsMin');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D157330A-9EF3-49F8-9A67-4141AC41ADD4}');
 BC_ImportAll;
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[vgm]

Новый карантин:
Файл сохранён как 100408_150928_quarantine_4bbdb96845bb5.zip
Размер файла 216881
MD5 f4b421b3a756d22880378577dc5f46dd

И логи:

[vgm]

Очень надеюсь, что завтра будет продолжение...

[vgm]

Что-то не наблюдаю активности

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('D157330A-9EF3-49F8-9A67-4141AC41ADD4');
DelCLSID('59BC54A2-56B3-44a0-93E5-432D58746E26');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll','');
 QuarantineFile('C:\PROGRA~1\3721\helper.dll','');
 DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог Gmer

[vgm]

Файл сохранён как 100409_114115_quarantine_4bbeda1b79b72.zip
Размер файла 13471
MD5 653a6edb23632d48eb5afaf066734d97
И новые логи

[Шапельский Александр]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer

Код:

GMER.exe -del service  ooqlhnsb  
GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb"
GMER.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

[vgm]

Значится так:
1. Выполнение bat-ника не привело ни к чему -- процесс не найден и пути не найдены
2. Новый лог GMERa сделал.

Может, мы не оттуда начали копать? IMHO, тут есть интесная папка C:\Program Files\3721\*.*, там кучка dll-ек, некоторые ссылаются на сайт (копирайтом прописан в самой библиотеке) 3721.com.

[Шапельский Александр]

Удалите старый bat-ник, еще раз выполните мое последние предписание.
И сделайте кроме лога Gmer, лог MBAM

[vgm]

... еще раз выполните мое последние предписание...

Это какое предписание? Я что-то не понял

[vgm]

Ну вот новый лог GMER и лог mbam.
В mbam-е я ничего не исправлял пока...

[vgm]

Кстати, после апдейта mbam попытки рассылки прекратились...

[Шапельский Александр]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer

Код:

GMER.exe -del service  ooqlhnsb  
GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb"
GMER.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится.
Удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bhoapp (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bhoapp.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
C:\Program Files\3721 (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\3721 (PUP.BitSpirit) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\cns.exe (Adware.CnsMin) -> No action taken.
C:\WINDOWS\system32\cns.dll (Adware.CnsMin) -> No action taken.
C:\WINDOWS\Downloaded Program Files\cnshint.dll (Adware.CnsMin) -> No action taken.
C:\WINDOWS\Downloaded Program Files\keepmain.dll (Adware.CnsMin) -> No action taken.
C:\Program Files\3721\CNSMIN.DAT (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\windex.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cnsm.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolive.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cns01.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolive.ini (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\helper.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\winhex.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cns03.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch03.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolvup.cab (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch05.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch06.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolvsw.ini (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\alliveex.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\scrblock.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\alrex.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\notifier.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\3721\AutoLive.dll (PUP.BitSpirit) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\syspck32.exe (Trojan.Downloader) -> No action taken.

Сделать новый лог gmer и лог MBAM

[vgm]

Батник опять сообщает об отсутствии сервиса и ключей в реестре
Занимаюсь подчисткой в mbam-e...

[vgm]

В mbam-e все вычистил.
Сделал новый лог GMER-а. Service ooqlhnsb остался. Может его "приложить" прямо в программе, а заодно и ooqlhnsb.sys?

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ooqlhnsb');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
  BC_ImportAll;
BC_DeleteSvc('ooqlhnsb');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог virusinfo_syscheck.zip и лог Gmer