Junior Member
Вес репутации
49
Непойманные вирусы
Суть такова:
Серфя инет начали внезапно закачиваться и открываться некие a.exe и netprotocol.exe Касперский (который стоит на жесткой проверке) их пропустил и автоматом добавил в доверенные. Мои глаза при этим стали вот такими O____O
Последствия:
1) Перестал загружатся ОгнеЛис, в других браузерах не может воспроизводить звуки
2) процесс csrss.exe Начал сильно нагружать проц
3) Войдя в почту, увидел что на нее заходили с чужого.. Китайского IP
Пока пишу это сообщения на месте курсора внезапно появилось штук 20 слов "test"
Чую уже удаленное администрирование идет.
Проверки CureIT и касперским ничего не дали...
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('axaraqj');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe','');
QuarantineFile('c:\windows\system32\dewulale.dll','');
QuarantineFile('c:\windows\system32\gadapobo.dll','');
QuarantineFile('c:\windows\system32\lepefihi.dll','');
QuarantineFile('z:\steam_cr\steam.exe','');
QuarantineFile('C:\WINDOWS\system32\lejorude.dll','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Firewall Protection');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\02.tmp');
BC_DeleteSvc('axaraqj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
- Какие браузеры, кроме Ие, установлены?
Junior Member
Вес репутации
49
Карантин отослан.
Браузеры:
ФФ - Основной. в 99% случаев пользуюсь им.
Опера, Хром
В данный момент производится скан Гмер. Уж очень долгий.. но уже вижу что есть изменения в svchost
После полного скана- приложу.
Junior Member
Вес репутации
49
Найдена руткит Активность. Лог Гмера:
- Сохраните текст ниже как 1.bat в ту же папку, где находится g0hnkcg6.exe (GMER) и запустите этот батник(1.bat):
Код:
g0hnkcg6.exe -del service usaxa
g0hnkcg6.exe -del file "C:\WINDOWS\system32\vxzgldoq.dll"
g0hnkcg6.exe -del file "C:\Program Files\Mozilla Firefox\setupapi.dll"
g0hnkcg6.exe -del file "C:\Program Files\Opera\setupapi.dll"
g0hnkcg6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\usaxa"
g0hnkcg6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\usaxa"
g0hnkcg6.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
Junior Member
Вес репутации
49
Логи АВЗ повторил. Приложил. Во время скана была открыта опера.
Сейчас сканится Гмер... очень долго. Но по первому опыту он находит все за 5 минут, а остальной час он ничего не находит. И тупо перебирает все файлы.
ФФ так и падает при открытии. Остальные браузеры работают нормально, но чую, что что-то есть.
Последний раз редактировалось Xmstr; 02.12.2010 в 23:05 .
Junior Member
Вес репутации
49
Наконец... вот и он! Мистер Гмер
Junior Member
Вес репутации
49
Полное МБАМ. Полсотни инфицировано.
Вложения
Удалите в mbam
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4} (Trojan.BHO) -> Value: {EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} (Trojan.BHO) -> Value: {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SSODL (Trojan.Agent) -> Value: SSODL -> No action taken.
Заражённые папки:
c:\documents and settings\X-MaStER\application data\gadcom (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\X-MaStER\application data\gpupdate.dat (Malware.Trace) -> No action taken.
c:\documents and settings\X-MaStER\application data\usernt.dat (Malware.Trace) -> No action taken.
c:\documents and settings\X-MaStER\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\bukatake.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\diyohobe.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\doriyubi.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\fevihife.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\figohele.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\gukehere.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\hagebuzi.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\hohokaza.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\horijavu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\jifetahi.dll (Trojan.Vundo.N) -> No action taken.
c:\WINDOWS\system32\jiwusomo.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\jovijora.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\jozoyona.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\judopuje.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\kedohugu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\ketahope.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\kuyajome.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\nugevozi.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\puzominu.dll (Trojan.Vundo.N) -> No action taken.
c:\WINDOWS\system32\rojisabo.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.
c:\WINDOWS\system32\silohuru.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\tipukuvu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\topapope.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\torajigu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\vozafiwu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\welolazu.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\yuwowijo.dll (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\zotokohu.dll (Trojan.Vundo) -> No action taken.
Сделайте новый лог mbam
Junior Member
Вес репутации
49
Не сказали что можно сразу удалять... теперь опять 9 часов сканирования... эххххх
Junior Member
Вес репутации
49
После сканирования и удаления вирусов в mbam. Система вошла в бесконечный цикл ребутов с БСОДами. Пришлось воостановить систему с диска.
После восстановления. ФФ начал таки запускаться, но что-то еще сидит:
1) Через 30-40 минут наступает TCP/IP лимит.. халф опен и сайты не открываются
2) так же csrss.exe может выжрать почти весь проц.
ПОлная проверка mbam может зависнуть на любом моменте. Быстрая проверка говорит что все чисто.
Что советуете? Может повторить логи АВЗ ?
Последний раз редактировалось Xmstr; 05.12.2010 в 12:18 .
Файл c:\WINDOWS\system32\sfcfiles.dll восстановите с дистрибутива .
- Сделайте новые логи АВЗ
Junior Member
Вес репутации
49
Сделано.
Так же частенько базы Касперыча оказываются повреждены. Прямо как при проблемах харда. Но чекдиск говорит что все ОК.
Производительность 3D приложений упала. Но все это вероятно из-за нагрузки проца от csrss.exe
Вложения
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DelBHO('{e9bf7ac2-e757-4dfa-a725-0030bf631f43}');
DeleteFile('C:\WINDOWS\system32\drivers\dwprot.sys');
DeleteFile('C:\WINDOWS\system32\dewulale.dll');
DeleteFile('C:\WINDOWS\system32\gadapobo.dll');
DeleteFile('C:\WINDOWS\system32\jijeruwa.dll');
DeleteFile('c:\windows\system32\dewulale.dll');
DeleteFile('c:\windows\system32\gadapobo.dll');
DeleteFile('c:\windows\system32\lepefihi.dll');
DeleteFile('C:\WINDOWS\system32\lejorude.dll');
ExecuteSysClean;
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\vksaver.dll,C:\PROGRA~1\KASPER~1\KASPER~3\mzvkbd3.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Junior Member
Вес репутации
49
Сделано.
csrss все так же грузит. TCP/IP лимит все так же заполняется. Может даже за 5 минут... Спасает только ребут.
Откройте секрет, у Вас какой Сервис Пак, второй или третий? В логах то второй, то третий. Прокомментируйте.
Junior Member
Вес репутации
49
На деле второй. В логах был третий - приходилось изменять ключ в реестре для запуска пресловутой GTA4 ^__^
Так что второй. (Тем более после восстановления с дистрибутива).
Вы сейчас посоветуете установить СП3 и Обновления на ИЕ8 ^_____^
Выполните процедуру, описанную в первом сообщении этой темы - http://virusinfo.info/showthread.php?t=3519
Ссылку на результат приложите сюда.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 16 В ходе лечения вредоносные программы в карантинах не обнаружены