JS/Exploit.Pdfka.AYZ

Здравствуйте. Сижу читаю форум [URL="http://forum.antichat.ru"]Античат[/URL], зашёл в тему. Как-то автоматом нажал на скриншот - меня перебросило на хостинг изображений, моментально среагировал NOD32 Antivirus и показал вирус [B]JS/Exploit.Pdfka.AYZ[/B].троянская программа по адресу _http://klokolk.in/goog_lemsn/pdf.php и тут же закрылся. Начал его искать в процессах - его нету. Зашёл в папку Programm Files и запусти его вручную. Теперь пытаюсь открыть бразузер - не открывается, причём любой Mozilla, Opera, IE. Также не открывается Total Commander, WinRAR и др, пробовал немногое. Была включена ICQ, написал друзьям - они мне нашли информацию в Гугле, сказали удалить кэш в папке с Mozilla по адресу C:\Documents and Settings\My_Profile\Application Data\Mozilla и очистить папку Temp по адресу C:\Documents and Settings\My_Profile\Local Settings\Temp, я скинул себе на флешку и пытался удалить файлы, но не удалялся файл e.dll (свежесозданный) и файл snfDD6.tmp. Я решил перезагрузить компьютер и зайти в безопасный режим, но нажимая F8 нету у меня выбора безопасного режима, появляется окно где нужно выбрать с какого диска грузить ОС. Включил я компьютер, зашёл и теперь полностью удалил папку Temp. До первой перезагрузки включал сниффер (SmartSniff). Вирус стучался:
Host: 239.255.255.250:1900
Location: [url]http://192.168.1.1:5437/dyndev/uuid:дальше[/url] идёт какой-то код...
[CODE]Ещё стучится на:
POST /vgame/a/games.php HTTP/1.1
Host: mezdunar3net.com[/CODE]
И сейчас когда пишу сообщение, включил сниффер - отстукивает на эти 2 адреса.

Логи по правилам сделал. Очень надеюсь на вашу помощь. Это не почистить файл hosts :(, я понятия не имею что делать :(

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\93cd.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\93cd.exe');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

Сделал всё по инструкции, новые логи прикрепил, карантин отправил
[QUOTE]Файл сохранён как 100112_144448_virus_4b4c60b039ac8.zip
Размер файла 382032
MD5 373098a46202215ffcbe1231c2f19954[/QUOTE]

После перезагрузки стало появляться окно: Установка нового оборудования - пишет: новое оборудование Нет данных и выбор с диска или с HDD устанавливать.
Ещё AVZ создал в папке LOG архив virusinfo_cure.zip, его никуда не отправлял. Когда делал анализ "Скрипт сбора информации для раздела "Помогите!" virusinfo.info", то Интернет был выключен. В правилах написано, что нужно включить, но т.к. [B]gjf[/B] написал включить Интернет после логов, то я его и не включал. Спасибо, очень жду, что мне делать дальше

Выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Windows\System32\Drivers\Sfloppy.SYS','');
BC_ImportAll;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится. Пришлите карантин ещё раз.

Выполнил скрипт. Захожу в карантин - файлов для отмечания нет. В папке \avz4\Quarantine\2010-01-12 есть 2 файла bcqr00001.dta и bcqr00002.dta, каждый размером 11 392 байт

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
[B]В обязательном порядке [URL="http://support.microsoft.com/kb/950717/ru"]установите Сервис Пак 3[/URL][/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ. И вообще, постарайтесь выполнить все советы, [URL="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/URL] - это максимально отдалит время нашей следующей с Вами встречи :)

Спасибо! А что с тем файлом (Sfloppy.SYS), он же не попал в карантин и я его не отправил, это окно с установкой нового оборудования снова будет вылетать?
Сниффером смотрел, вроде никто никуда не стучится. Этот вирус никакие порты на моей машине не открыл? Есть ли предположения какие у него функции были? Никаких просьб с отправкой SMS не было. И как такое может быть, что заходишь на Хостинг картинок и тебе грузится такая хрень. Кроме Радикала больше нигде не открываю :(.
Ещё я скидывал на флешку папку C:\Documents and Settings\<ваше_имя_пользователя>\Local
Settings\Application Data\Mozilla\Firefox\Profiles\<рандомный_набор_сим волов>.default - могу ли я её вернуть на прежнее место? (Там все мои настройки/закладки).
Спасибо за лечение, надеюсь ответите на мои вопросы.

Окна больше не будет, оно было нужно для диагностики.
Сейчас у Вас куча уязвимостей, поскольку не стоят последние обновления системы. Вирусов нет, но если не предпримите меры - появятся :)

Отстук на какой-то IP адрес продолжается :(
SmartSniff
[CODE]NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
CACHE-CONTROL: max-age=1800
Location: http://192.168.1.1:5431/dyndev/uuid:тут идёт какой-то код (цифры+буквы)
NT: upnp:rootdevice
NTS: ssdp:alive
SERVER:LINUX/2.4 UPnP/1.0 BRCM400/1.0[/CODE]

Вы так быстро обновились? :)

Я не обновлялся. У меня стоит ZverCD... Как я обновлюсь с сайта Microsoft'a...
Думал, что вирусов уже нет, хотел оставить всё как и было раньше (. Где он может сидеть, какими программами мне ещё протестироваться?

ZverCD уже давным-давно с СП3 выходит. И в нете куча способов варезного обхода защиты Microsoft, то есть как СП3 поставить на пиратку. Здесь это - не тема для обсуждения, но Гугль в помощь.

Сразу скажу, что с SP2 на данный момент машина, имеющая выход в интернет, будет без вирусов ну максимум сутки :)

SP2 долго уже стоит, а вот вчера подцепил эту чушь. Как его поймать, какие логи сделать?

Я Вам русским языком сказал, что сейчас всё чисто и тем же самым языком сказал, что сделать, чтобы этого не повторилось. Что неясно?
Маты здесь не приветствуются, потрудитесь изъясняться корректно.

[QUOTE=gjf;558613]Что неясно?[/QUOTE]
Кто стучится на этот странный адрес. Как узнать кто это и обезвредить

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 11 минут[/I][/B][/color][/size]

Пробив этот IP в Гугл и Яндекс вылетело много тем.
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;317843[/url]
[url]http://virusinfo.info/showthread.php?t=9203[/url]

Получается вирус включил эту службу или прописал что-то в реестре (на сайте Микрософта написано что-то про реестр, но по английски не понимаю что там конкретно, переводчик переводит коряво)? Потому что раньше я тоже смотрел сниффером пакеты и ни разу такого отстука не видел... Что лучше сделать? Вырубить службу или оставить как есть. После пойду обновляться :)

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Ещё нашёл тему [url]http://forum.xakep.ru/m_1532655/mpage_1/key_/tm.htm[/url]
Тут пишen про uTorrent и как раз им я пользовался за день до этого вируса (uTorrent стоял давно и до этого я им тоже пользовался)

Перезагрузил компьютер, снова появляется окно о новом устройстве, скриншот во вложении. Сделал снова логи, посмотрите пожалуйста и другие Хелперы, одна голова хорошо, а две лучше. Очень жду (

Извините, что поднимаю тему. Понимаю, что таких как я много, но не переустанавливать же Windows :(. Помогите найти этого зловреда, который стучится на неизвестный IP :(

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Packed.Win32.Katusha.j[/B][/LIST][/LIST]