ali.exe и ярлык IE

Printable View

19.05.2010, 23:46
inskra

ali.exe и ярлык IE

Здравствуйте.
Комп был завирусован до жути. Очень много вирусов троянов бэкдоров.
Чистился с Live usb сканером Dr.web"ом, AVZ, VRT касперского, Malwarebytes Anti-Malware c последними обновлениями.
После был установлен KAV 2010 и запущен в максимальном режиме. Так эта тварь всё равно живёт и здравствует.
При открытии любого браузера открывается окно :http:www.dianxin.cn домашняя страница google.ru.
На рабочем столе есть ярлык IE (не удаляется)
При нажатии выходит список вида:
??(R)
????(H)
??(D)
_____
Создать ярлык.
19.05.2010, 23:48
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\ali.exe');
QuarantineFile('c:\windows\ali.exe','');
DeleteFile('c:\windows\ali.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
20.05.2010, 00:17
inskra

отправил
20.05.2010, 00:48
thyrex

Антивирус отключите. Выполните скрипт еще раз. И снова сделайте логи
20.05.2010, 08:00
inskra

Антивирус отключён.
AVZ пишет:
Карантин с использованием прямого чтения - ошибка
20.05.2010, 09:39
thyrex

Где новые логи?

Сделайте еще такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
20.05.2010, 22:21
inskra

1
20.05.2010, 22:50
thyrex

Скачайте [url=http://oldtimer.geekstogo.com/OTM.exe]OTM by OldTimer[/url] и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
[url=http://www.bleepingcomputer.com/forums/topic114351.html]временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
[code]
:Processes
explorer.exe

:Services

:Files
c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c:\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\marco!.scr
c:\windows\instit.bat
c:\windows\brasil.pif
c:\windows\ali.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
[/code]
В OTM под панелью [b]"Paste Instructions for Items to be Moved"[/b] (под [color=yellow][b]желтой[/b][/color] панелью) вставьте скопированный текст и нажмите кнопку [b]"MoveIt!"[/b].

[B][I]Компьютер перезагрузится.[/I][/B]

После перезагрузки откройте папку [b]"C:\_OTM\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), заархивируйте его и прикрепите к следующему сообщению.
21.05.2010, 05:40
inskra

2
21.05.2010, 07:46
thyrex

Что сейчас с проблемой?
21.05.2010, 09:03
inskra

Живёт и здравствует. При подключении кабеля пытается отправить посредством IE чтото в инет.
OTM не особо помог.
21.05.2010, 09:30
thyrex

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
[url=http://www.bleepingcomputer.com/forums/topic114351.html]временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
[code]
:Processes
explorer.exe
ali.exe

:Services

:Files
c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c:\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\marco!.scr
c:\windows\instit.bat
c:\windows\brasil.pif
c:\windows\ali.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
[/code]
В OTM под панелью [b]"Paste Instructions for Items to be Moved"[/b] (под [color=yellow][b]желтой[/b][/color] панелью) вставьте скопированный текст и нажмите кнопку [b]"MoveIt!"[/b].

[B][I]Компьютер перезагрузится.[/I][/B]

После перезагрузки откройте папку [b]"C:\_OTM\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), заархивируйте его и прикрепите к следующему сообщению.

Изменения есть?
21.05.2010, 09:47
inskra

На рабочем столе восстановился ярлык нормального IE.
IE на [url]www.dianxin.cn[/url] теперь не пытается выйти
Но Firefox и Google Chrome выходят.
Процесс ali.exe висит в памяти
21.05.2010, 10:55
thyrex

Сделайте еще раз лог ComboFix и стандартные логи
21.05.2010, 19:20
inskra

Вложений: 1

да чтож за зверь та такой лютый.
22.05.2010, 01:17
thyrex

Утилиту KLAntiFunLove от Лаборатории Касперского Вы загружали?

Скачайте [url=http://swandog46.geekstogo.com/avenger2/download.php]Avenger by Swandog46[/url] и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта
[code]
Drivers to disable:

Drivers to delete:

Files to delete:
c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c:\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\marco!.scr
c:\windows\instit.bat
c:\windows\brasil.pif
c:\windows\ali.exe

Folders to delete:

Registry values to delete:

Registry keys to delete:
[/code]

[I][color=red]Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.[/color][/I]

Нажмите [B]Execute[/B] и подтвердите, нажав [B]Yes[/B]

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит [B]Drivers to Delete[/B], Avenger перезагрузит компьютер [B]дважды[/B])
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве [B]C:\avenger\backup.zip[/B].

[B]c:\avenger.txt[/B] прикрепите к следующему сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 24 минуты[/I][/B][/color][/size]

Сделайте еще лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
22.05.2010, 21:46
inskra

Перепробывал все утилиты касперского, ничего не нашлось.
Также уже перепробывал пачку анти spyware и rootkit утилит, файлы находятся и удаляются в system32. Но по логам они в 0 байт.
ali.exe живёт и здравствует. :094:
23.05.2010, 14:34
thyrex

У Вас bootkit
Нужно загрузиться с [URL="http://support.microsoft.com/kb/314058/ru"]консоли восстановления[/URL] и выполнить команду [B]fixmbr[/B]
24.05.2010, 09:23
inskra

Процесс ali.exe больше не закпускается.
А как быть с файлами по 0 байт находящиеся в процессе system?
[CODE]c:\windows\alevir.exe
c:\windows\brasil.exe
c:\windows\scrsvr.exe
c:\windows\srv32.exe
c:\windows\system32\bride.exe
c:\windows\system32\aavar.pif
c:\windows\marco!.scr
c:\windows\instit.bat
c:\windows\brasil.pif
c:\windows\ali.exe[/CODE]

Пробывал удалить avengerom по скрипту выше. Безрезультатно.
В Google Chrome и Firefox всё равно открывается dianxin.cn

Вообщем систему переставляю, больше клиент не может ждать.
25.05.2010, 09:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]