Система чистая.До первого выхода в Интернет.

**mishkind** · 23.11.2010, 21:53

Здравствуйте!

Система проверена несколькими антивирусами,
в том числе из под "не заражённой" машины,
работает нормально.

Но- только до момента установки VPN-соединения
и выхода в интернет.

При этом антивирус начинает активно
удалять троянские файлы,
которые процессы "explorer.exe" и " svchost.exe"
запускают с адресов вида (хттп)://208.53.183.181
(последние цифры могут различаться)

файлы вида 06.exe (может быть произвольная цифра)
разбрасываются в дирректорию /system32
и во временные папки интернета.

Могут быть и другие файлы,
например finish.exe , ltzqai, msvmiode, графические файлы

Теперь - вопрос.
В данный момент я запустил все процедуры лечения и диагностики,
машина с виду чистая.

Согласно инструкции я должен теперь подключить
интернет и опять запустить AVZ, а потом и HiJackThis.для продолжения диагностики

Скажите- антивирус при этом не надо отключать?
Правильно ли я понимаю, что после составления дальнейших логов
систему всё таки почистить?
или оставить с загруженными троянцами?

Что делать дальше?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mishkind** · 23.11.2010, 22:05

У меня отображается красным
надпись "прислать карантин"

http://virusinfo.info/upload_virus.php?tid=92303

А в правилах написано,
что без специальной просьбы- не присылать.

Вот и думай, как хочется

**polword** · 23.11.2010, 22:10

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

**mishkind** · 23.11.2010, 23:33

Сделал,
как было сказано.

Штатный антивирус был отключён,
по этому не могу сказать, устанавливались в систему файлы,
или нет.

Карантин пришлю чуть позже,
я не знаю пока, как установить пароль на полученный файл архива.

**polword** · 23.11.2010, 23:37

Обновите систему
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

понаблюдайте за проблемой

**mishkind** · 23.11.2010, 23:47

Благодарю Вас!
Обновления как раз начал устанавливать,
но не успел, штатный Nod закрыл все
соединения процессам, запускающим вредителей.

Файл с карантином оказался уже под паролем,
по этому я его всё таки загрузил по указанной мне ссылке.

Что же,
доброй ночи!

ps- пойду выполнять указания.

**polword** · 24.11.2010, 07:20

если обновления не помогут - сделайте лог Combofix

**mishkind** · 24.11.2010, 14:48

Спасибо, всё случилось!

Combofix не потребовался.
Последний скрипт для AVZ показывает только одну уязвимость
-"разрешён доступ Анонимного пользователя"

В остальном система работает стабильно,
антивирусная программа ни разу больше не "семафорила"

Хочу Вас поблагодарить
и выразить восхищение Вашему опыту и знаниям!

Было бы интересно узнать, теперь,
когда всё уже работает,
где же была прописана та "вредоносная инструкция"
заставлявшая систему загружать и запускать "троянца"?

ЗЫ- на всякий случай привожу здесь последний лог
NOD-32, зафиксировавший загрузку и запуск вредоносного ПО.