internet security

Printable View

25.01.2010, 18:45
eye_stopper

internet security

помогите избавится от этой гадости ниче не открывается, ниче не работает :( третьего лога нет, т.к. проверка выполняется наполовину,потогм комп гаснет просто и все
25.01.2010, 19:39
gjf

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
[b]- [url="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление[/url]!!! Это ВАЖНО![/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]Procedure DelAppInit_DLLsByFileName(Name : string);
var
AppInit_DLLs: string;
i, j, c, s: integer;
endSearch, found: boolean;
begin
if Name = '' then
exit;
AppInit_DLLs := RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
endSearch := false;
while not endSearch do
begin
found := false;
for i := 1 to length(AppInit_DLLs) do
begin
s := 0;
c := i;
for j := 1 to length(Name) do
if copy(AppInit_DLLs, c, 1) = copy(Name, j, 1) then
begin
s := s + 1;
if s = length(Name) then
begin
if ((i = 1) and (length(Name) = length(AppInit_DLLs)))
or ((i = 1) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0))
or ((i + length(Name) - 1 = length(AppInit_DLLs)) and (pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0))
or ((pos(copy(AppInit_DLLs, i - 1, 1), ', ') > 0) and (pos(copy(AppInit_DLLs, i + length(Name), 1), ', ') > 0)) then
begin
found := true;
Delete(AppInit_DLLs, i, length(Name));
end;
end;
c := c + 1;
end
else
break;
if found then
break;
end;
if not found then
endSearch := true;
end;
i := 1;
while i < length(AppInit_DLLs) do
begin
if pos(copy(AppInit_DLLs, i, 1), ', ') > 0 then
if pos(copy(AppInit_DLLs, i + 1, 1), ', ') > 0 then
begin
Delete(AppInit_DLLs, i, 1);
i := i - 1;
end;
i := i + 1;
end;
if copy(AppInit_DLLs, 1, 1) = ',' then
Delete(AppInit_DLLs, 1, 1);
if copy(AppInit_DLLs, length(AppInit_DLLs), 1) = ',' then
Delete(AppInit_DLLs, length (AppInit_DLLs), 1);
AppInit_DLLs := Trim(AppInit_DLLs);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', AppInit_DLLs);
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\windows\KB900485.log:adefGA','');
DeleteFile('C:\windows\KB900485.log:adefGA');
QuarantineFile('C:\windows\system32\sdra64.exe','');
DeleteFile('C:\windows\system32\sdra64.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
DelAppInit_DLLsByFileName('C:\windows\KB900485.log:adefGA');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16); {восстановление ключа запуска explorer}
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
25.01.2010, 22:24
eye_stopper

скрипт прогнал просилка денег пока не появляется, диспетчер задач так и не работает regedit тоже, попытался сделать логи,вот что получилось virusinfo_syscure.zip virusinfo_syscheck.zip пытаюсь зайти в папку с программой, комп перегружаетсяя hijackthis.log делает лог,но когда начинает сохранять. комп перегружается ща попробую поколдовать, может получится логи вытащить

[SIZE=1][COLOR=#666686][B][I]Добавлено через 50 минут[/I][/B][/COLOR][/SIZE]

теперь вообще ниче не получается
логи стащить немогу, при попытки зайти в папку с программой AVZ, комп падает, переименовываем папку, копируем только ехе-шник, через раз запускается, но ни текста, ни скриптов нету. пытаюсь просто скопировать папку Base, копирую. открываю, там пусто, просто перетаскиваешь в нее любой файл,тут же исчезает
могу только запусть скрипт вручную, все :( З.ы. востановления системы, вообще закладки нету
25.01.2010, 22:36
gjf

1. Скачайте [url="http://download.bleepingcomputer.com/Merijn/adsspy.zip"]вот эту утилиту[/url].
2. Загрузитесь и проведите сканирование с помощью [url="ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso"]LiveCD от DrWeb[/url] или [url="http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso"]Rescue Disc от Kaspersky Lab[/url]. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как [url="http://virusinfo.info/showpost.php?p=557652&postcount=5"]описано здесь[/url], после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
3. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:
[code]siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
userinit.sys (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\TEMP\ (удалить всё в этой папке)[/code]
Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
4. После этого запустите скаченный ADSSpy.exe.
4.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
4.2. Нажмите кнопку [b]Scan the system for alternate data stream[/b].
4.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите [b]View stream contents[/b].
4.4. Нажмите кнопку [b]Save to disk[/b] и сохраните файл с именем похожим на то, что написано внизу окна [b]ADS Spy[/b] в строчке [b]Viewing content of ....[/b].
4.5. После этого нажмите кнопку [b]Back[/b] и для указанных выше двух потоков однозначно нажмите кнопку [b]Remove selected streams[/b], удалив зловредные потоки с машины. [u]Внимание[/u]: удалять только те потоки, которые я указал!
4.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
4.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
5. После этого попробуйте загрузить систему и получить полные логи по [url="http://virusinfo.info/pravila.html"]Правилам[/url].
25.01.2010, 23:12
eye_stopper

а только такой вариант? просто нет подрукой болванки, а бежать счас некуда :(
25.01.2010, 23:39
gjf

Можно винчестер снять и подключить к другой системе. :)

Ладно, попробуйте скан в безопасном режиме с помощью [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL].
Там же попробуйте после сканирования выполнить мои советы с п.3 по п.5.
28.01.2010, 15:31
eye_stopper

получилось сделать логи больной системы. выкладываю P.s.один момент, немогу отключить восстановление системы, т.к. закладка вообще испарилась, там где она должна быть, ее теперь нету %:( вообще :(
28.01.2010, 17:39
eye_stopper

up

[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]

про меня не забудьте плиз? понимаю народу много :( ну пож-та.......
28.01.2010, 22:37
gjf

Вы выполнили не то, что я просил.
29.01.2010, 13:11
eye_stopper

да, только из больной системы, сейчас прикреплю. гляньте логи? выложенные вчера? получилось прогнать AVZ, но ниче не понял что было, т.к. в нем нет шрифтов.
29.01.2010, 13:33
gjf

Там бессмысленно что-то смотреть.
Запустите AVPTool, полный скан с LiveCD или в безопасном режиме и пп.3-5 выше.
29.01.2010, 14:11
eye_stopper

так я по сути это уже сделал,
п3. - таких файлов нету
п4. - Addspy запустил, потоки убрал, файлы выложил
п5. - новые логи системы выложил еще вчера

все что вы просили. сделал
29.01.2010, 14:29
gjf

То, что Вы выслали, уже детектируется как Krap.w, а значит - должно удаляться AVPTool. Скачайте текущую версию и запустите сканирование.
02.02.2010, 15:37
eye_stopper

все сделал. LiveCD от Dr.Web и от касперского, система вроде ожила, но нет востановления системы, диспетчера задач и реестра. вот логи, посмотрите что осталось?
02.02.2010, 15:50
gjf

- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\NISSAN\WPWShell.exe','');
QuarantineFile('C:\NISSAN\WH4Shell.exe','');
DeleteFile('C:\NISSAN\WH4Shell.exe');
DeleteFile('C:\NISSAN\WPWShell.exe');
QuarantineFile('C:\windows\Fonts\wst_fren.fon:adefGA','');
DeleteFile('C:\windows\Fonts\wst_fren.fon:adefGA');
DelAppInit_DLLsByFileName('C:\windows\Fonts\wst_fren.fon:adefGA');
DeleteFileMask('C:\NISSAN\', '*.*', true);
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
BC_Activate;
RebootWindows(true);
end.[/CODE],

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
[b]- Обновите базы AVZ!!! [/b] Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ [url="http://z-oleg.com/secur/avz_up/avzbase.zip"]скачайте отсюда[/url] и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ.
- Сделайте повторные логи согласно только пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscheck.zip[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи к новому сообщению в этой ветке.
02.02.2010, 16:34
eye_stopper

готово
02.02.2010, 16:38
gjf

Чисто. Что с проблемами?
02.02.2010, 17:04
eye_stopper

вроде все работает, даже как-то пошустрее чем было :) спасибо огромное
02.02.2010, 17:06
gjf

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [url="http://virusinfo.info/showthread.php?t=3519"]тут.[/url]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [url="http://update.microsoft.com"]обновления системы Windows[/url] и используемых программ. И вообще, постарайтесь выполнить все советы, [url="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/url] - это максимально отдалит время нашей следующей с Вами встречи :)
03.02.2010, 17:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\msmq.chm:adefga - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )[*] c:\windows\help\msmq.chm:adefga:$data - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )[*] c:\windows\system32\rserver30\r3god.dll - [B]Backdoor.Win32.RAdmin.ab[/B] ( DrWEB: BackDoor.Radmin.40, BitDefender: Backdoor.Generic.71075, AVAST4: Win32:Radmin-I [Trj] )[*] \msmq.chm.adefga.bin - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )[*] \wst_fren.fon.adefga.bin - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.hy8@aq9xJ7ic, AVAST4: Win32:Bredolab-BR [Trj] )[/LIST][/LIST]