Помогите пролечить

Printable View

20.01.2012, 10:50
Oldmans

Помогите пролечить

Комп на Win Server 2003, наловили зловредов, пролечили Каспером, машинка все равно подглючивает. Работает прокси-сервером, антивируса там нет - в ближайшее время установят. При входе в систему через три кнопки - нет имени пользователя, каждый раз приходится набирать вручную. Посмотрите, плиз - есть еще что?
20.01.2012, 10:51
Info_bot

Уважаемый(ая) [B]Oldmans[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.01.2012, 13:13
Techno

Здравствуйте!!!

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O4 - S-1-5-18 Startup: KsESC82QeB8.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: KsESC82QeB8.exe (User 'Default user')
O4 - .DEFAULT User Startup: KsESC82QeB8.exe (User 'Default user')[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\KsESC82QeB8.exe','');
DeleteFile('C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\KsESC82QeB8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/CODE]

[COLOR="#FF0000"]Перезагрузите компьютер[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Повторите логи + - [URL="http://virusinfo.info/showthread.php?t=49691&highlight=RSIT"]Сделайте лог RSIT[/URL]
20.01.2012, 14:08
Oldmans

пофиксено, выполнено, [B]quarantine.zip[/B] отправлено
20.01.2012, 14:39
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\0.6479358336578094.exe','');
DeleteFile('C:\WINDOWS\system32\0.6479358336578094.exe');
QuarantineFile('C:\WINDOWS\system32\0.9657161798781205.exe','');
QuarantineFile('C:\WINDOWS\system32\gptsvc.exe','');
DeleteFile('C:\WINDOWS\system32\0.9657161798781205.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe');
regkeyparamdel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder', 'C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\6Wt48WbnM5o.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.[/CODE]

[COLOR="#FF0000"]перезагрузите Компьютер[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

Что с проблемами?

Повторите лог РСИТ + [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
20.01.2012, 16:12
Oldmans

Комп заработал шустро, правда - имя пользователя при входе в систему так и приходится писать вручную.
20.01.2012, 22:17
Techno

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441} (Trojan.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144} (Backdoor.Bot) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144} (Backdoor.Bot) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9212155} (Worm.AutoRun) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9212155} (Worm.AutoRun) -> Действие не было предпринято.
HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\ACP.starter (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

C:\WINDOWS\Microsoft.NET\csrss.exe (Trojan.Agent.Gen) -> Действие не было предпринято.

C:\Documents and Settings\Default User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

C:\WINDOWS\system32\drivers\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
[/CODE]

Папки знакомы?
[CODE]C:\WINDOWS\system32\28463
C:\WINDOWS\security[/CODE]

Выполните в АВЗ:
[CODE]
begin
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^6Wt48WbnM5o.exe');
end.[/CODE]

IE обновляйте...
23.01.2012, 12:47
Oldmans

[QUOTE=Techno;859639][URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
Папки знакомы?

Выполните в АВЗ:

IE обновляйте...[/QUOTE]
Удалил, и папки левые тоже. АВЗ выполнил. ИЕ чуть позже обновлю...
Надо будет потом еще логи выкладывать?
24.01.2012, 12:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\default user\\главное меню\\программы\\автозагрузка\\ksesc82qeb8.exe - [B]Backdoor.Win32.Bredolab.wbt[/B] ( DrWEB: Trojan.Carberp.29, BitDefender: Trojan.Generic.KD.519759, AVAST4: Win32:FakeAlert-CJO [Trj] )[*] c:\\windows\\system32\\0.6479358336578094.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Heur.Kelios.1, AVAST4: Win32:FakeAlert-CJO [Trj] )[*] c:\\windows\\system32\\0.9657161798781205.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Heur.Zygug.1, AVAST4: Win32:MalOb-HX [Cryp] )[/LIST][/LIST]