addoon.exe и другие странные процессы

Printable View

03.11.2011, 21:46
Sality

Вложений: 3

addoon.exe и другие странные процессы

Здравствуйте!
Друг подхватил вирус. Компьютер виснет, в диспетчере висят странные процессы. Norton вроде как вылечил комп, но вирус остался. Логи прилагаю.
03.11.2011, 21:47
Info_bot

Уважаемый(ая) [B]Sality[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.11.2011, 21:58
ARMA9000

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('NvQTwk.exe','');
QuarantineFile('C:\WINDOWS1\system\GDICOD97.DRV','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS1\Application Data\msvd32srv\msrmon.exe','');
TerminateProcessByName('c:\documents and settings\Администратор.06198972d68d484\application data\addoon32.exe');
QuarantineFile('c:\documents and settings\Администратор.06198972d68d484\application data\addoon32.exe','');
DeleteFile('c:\documents and settings\Администратор.06198972d68d484\application data\addoon32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','adonpdf');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS1\Application Data\msvd32srv\msrmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvd32srv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ обновить и переделать логи + сделать лог gmer(ссылка в подписи).
04.11.2011, 12:12
Sality

Вложений: 4

Спасибо за помощь. Все сделал. Делаю повторную проверку NIS. Логи и карантин прилагаю.
Карантин:
Файл сохранён как 111104_080839_virus_4eb39d875b89b.zip
Размер файла 61534
MD5 fc43711e6273675759c0a6e8be6a039f
04.11.2011, 21:21
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]yw4743p9.exe -del service eohoh
yw4743p9.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]yw4743p9.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [/b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]

[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!

Сделайте новый лог gmer

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
05.11.2011, 17:57
Sality

Вложений: 2

Сделано.
Если есть какие-нибудь странные и ненужные сервисы, то лучше их отключить. Компьютер используется для офисной работы и выхода в интернет, все остальное можно вырубить.
05.11.2011, 19:14
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_Bar.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_bho (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_bho.1 (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\MSsrtn\xn (Malware.Trace) -> Value: xn -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
c:\documents and settings\all users.windows1\application data\msvd32srv (Worm.AutoRun) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Зараженные файлы:
c:\documents and settings\администратор.06198972d68d484\рабочий стол\avz4\avz4\quarantine\2011-11-02\avz00002.dta (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\рабочий стол\avz4\avz4\quarantine\2011-11-04\avz00002.dta (Malware.Packer.Gen) -> No action taken.
j:\avz4\quarantine\2011-11-02\avz00002.dta (Malware.Packer.Gen) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\application data\37.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\application data\6A.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\application data\15.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\application data\16.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор.06198972d68d484\nigzss.txt (Malware.Trace) -> No action taken.
c:\WINDOWS1\nigzss.txt (Malware.Trace) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
c:\program files\common files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> No action taken.[/code]

1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]yw4743p9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eohoh"
yw4743p9.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]yw4743p9.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]

[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!

Сделайте новый лог gmer
06.11.2011, 18:51
Sality

Вложений: 1

Сделано.
06.11.2011, 20:53
thyrex

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Что с проблемой?
08.11.2011, 00:20
Sality

В ближайщее время ОС будет обновлена до SP3 или переставлена на Windows 7, если потянет (каковы минимальные параметры компьютера для установки windows 7?).
Проблема вроде как решена. Спасибо.
09.11.2011, 00:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]