Похоже на целый букет зловредов

Printable View

11.08.2009, 23:50
Dexer

Похоже на целый букет зловредов

Посоветуйте, пожалуйста, как избавиться от нечисти.
Логи удалось сделать только в безопасном режиме. В обычном AVZ уходил в себя и не возвращался.
12.08.2009, 02:10
DefesT

Хорошо нахватались...
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]!!!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:
[CODE]R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo beforemain
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/CODE]
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\Documents and Settings\Вера\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\ContentSaver\ContentSaver.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
QuarantineFile('C:\WINDOWS\system32\afd.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\Documents and Settings\Вера\Рабочий стол\DCEFEC2C9DE96BF0\DCEFEC2C9DE96BF0','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
QuarantineFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteService('systemntmi');
DeleteService('symavc32');
DeleteService('securentm');
DeleteService('port135sik');
DeleteService('nicsk32');
DeleteService('netsik');
DeleteService('navigator');
DeleteService('ksi32sk');
DeleteService('i386si');
DeleteService('fips32cup');
DeleteService('DCEFEC2C9DE96BF0');
DeleteService('ati64si');
DeleteService('amd64si');
DeleteService('acpi32');
DeleteService('WebaltaController');
DelCLSID('D250CF30-1CF3-4CED-AA2B-D76F5FD05C99');
DelBHO('D4C56A33-3488-495B-8033-9BF834E276D8');
DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86');
DelBHO('95289393-33EA-4F8D-B952-483415B9C955');
DelBHO('92860A02-4D69-48c1-82D7-EF6B2C609502');
DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
DelBHO('6C3BDD12-4B6F-44F1-87CB-4D94E1ED38A5');
DelBHO('29F340EA-2108-40d0-94A0-62EC2B9EDF59');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
DeleteFile('C:\Program Files\Webalta\WebaltaUpdaterService.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\Documents and Settings\Вера\Рабочий стол\DCEFEC2C9DE96BF0\DCEFEC2C9DE96BF0');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\afd.dll');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\ContentSaver\ContentSaver.dll');
DeleteFile('C:\PROGRA~1\Webalta\WEBALT~2.DLL');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Documents and Settings\Вера\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\PROGRA~1\Webalta\WEBALT~1.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('symavc32');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('nicsk32');
BC_DeleteSvc('netsik');
BC_DeleteSvc('navigator');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('DCEFEC2C9DE96BF0');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('WebaltaController');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.05.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE] Обновите базы AVZ.
Сделайте новые логи по правилам в обычном режиме.
12.08.2009, 08:54
Dexer

Готово.
12.08.2009, 09:19
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll','');
DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
12.08.2009, 23:52
Dexer

Готово.
13.08.2009, 01:53
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\DCEFEC2C9DE96BF0"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\DCEFEC2C9DE96BF0"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новые логи
13.08.2009, 09:35
Dexer

Готово.
13.08.2009, 12:18
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ExecuteRepair(13);
RebootWindows(true);
end.
[/CODE]
[QUOTE=Dexer;447869]Готово.[/QUOTE]
А лог gmer?
13.08.2009, 23:16
Dexer

GMER - прекрасная вещь, но два с половиной часа на сканирование - это серьезно.
Внешних признаков нечисти вроде не осталось.
13.08.2009, 23:34
thyrex

Чисто

Установите Adobe Acrobat 9.1.3 или удалите старый
14.08.2009, 00:18
Dexer

Большое Спасибо!
15.08.2009, 00:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]59[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\system\webcheck.dll - [B]Trojan-PSW.Win32.Agent.npx[/B] ( DrWEB: Trojan.Mifesto, BitDefender: Trojan.Generic.2195466 )[*] c:\progra~1\webalta\webaltaadshunter.dll - [B]not-a-virus:AdWare.Win32.Webalt.h[/B] ( DrWEB: Trojan.Mycentria.32, BitDefender: Application.Generic.30121 )[*] c:\progra~1\webalta\webaltatoolbar.dll - [B]not-a-virus:AdWare.Win32.Webalt.j[/B] ( BitDefender: Application.Generic.174374 )[*] c:\progra~1\webalta\webalt~1.dll - [B]not-a-virus:AdWare.Win32.Webalt.j[/B] ( BitDefender: Application.Generic.174374 )[*] c:\progra~1\webalta\webalt~2.dll - [B]not-a-virus:AdWare.Win32.Webalt.h[/B] ( DrWEB: Trojan.Mycentria.32, BitDefender: Application.Generic.30121 )[*] c:\windows\system32\afd.dll - [B]Rootkit.Win32.Agent.lsf[/B] ( DrWEB: Trojan.NtRootKit.2931, BitDefender: Trojan.Generic.2084292, NOD32: Win32/Agent.PKM trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\calc.ifo - [B]Trojan-Downloader.Win32.Small.jvn[/B] ( DrWEB: Trojan.DownLoad.38479, BitDefender: Trojan.Downloader.Agent.AAOL, NOD32: Win32/TrojanDownloader.Agent.PEH trojan, AVAST4: Win32:Oficla-FWP [Trj] )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.wwo[/B] ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Trojan.Generic.2058806, AVAST4: Win32:Zbot-LTF [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]