Вирусы на машине.

Printable View

09.12.2010, 16:58
Михаил_83

Вирусы на машине.

На компе спустя какой то время пересаёт работать интернет. НОД32 постоянно детектит некий вирус ali.exe, после проверки НОДом спустя какой то время он опять появляется. Вот логи помогите вычистить.
09.12.2010, 17:17
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\dsxfoq.exe');
QuarantineFile('c:\windows\system32\dsxfoq.exe','');
TerminateProcessByName('c:\windows\system32\kumkae.exe');
QuarantineFile('c:\windows\system32\kumkae.exe','');
TerminateProcessByName('c:\windows\system32\oyaceg.exe');
QuarantineFile('c:\windows\system32\oyaceg.exe','');
DeleteService('wmasds');
QuarantineFile('C:\WINDOWS\system32\tlac.exe','');
DeleteService('WinHelp32');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
DeleteService('srgr');
QuarantineFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe','');
QuarantineFile('C:\WINDOWS\system32\nefjeq.exe','');
QuarantineFile('C:\WINDOWS\system32\dsxfoq.exe','');
QuarantineFile('C:\WINDOWS\system32\kumkae.exe','');
QuarantineFile('C:\WINDOWS\system32\loprku.exe','');
QuarantineFile('C:\WINDOWS\system32\360tay.exe','');
QuarantineFile('C:\PROFILES\All Users\Application Data\Storm\update\Console\pkgsq.cc3','');
QuarantineFile('C:\WINDOWS\system32\RgmhtuC.dll','');
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\Program Files\PRMT8\PrmtICQ\PrmtICQ.exe','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\ali.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','qQ');
DeleteFile('C:\WINDOWS\system32\Y2T30JWI\D001.exe');
BC_DeleteSvc('srgr');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_DeleteSvc('WinHelp32');
DeleteFile('C:\WINDOWS\system32\tlac.exe');
DeleteFileMask('C:\WINDOWS\system32\Y2T30JWI','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\Y2T30JWI');
BC_DeleteSvc('wmasds');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

выполните скрипт
[code]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
[/code]
09.12.2010, 17:31
Михаил_83

Карантин выслал.
09.12.2010, 17:52
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('srgr');
DeleteService('txstc');
DeleteService('txstx');
DeleteService('u7t');
DeleteService('wmasds');
TerminateProcessByName('c:\windows\system32\oyaceg.exe');
TerminateProcessByName('c:\windows\system32\kumkae.exe');
DeleteService('supersev');
StopService('supersev');
SetServiceStart('supersev', 4);
TerminateProcessByName('c:\windows\system32\dsxfoq.exe');
DeleteService('e ds');
StopService('e ds');
SetServiceStart('e ds', 4);
BC_DeleteSvc('e ds');
DeleteFile('C:\WINDOWS\system32\dsxfoq.exe');
BC_DeleteSvc('supersev');
DeleteFile('C:\WINDOWS\system32\kumkae.exe');
DeleteFile('c:\windows\system32\oyaceg.exe');
BC_DeleteSvc('wmasds');
DeleteFile('C:\WINDOWS\system32\tlac.exe');
DeleteFile('C:\WINDOWS\system32\betlac.exe');
BC_DeleteSvc('u7t');
BC_DeleteSvc('txstx');
BC_DeleteSvc('txstc');
BC_DeleteSvc('srgr');
DeleteFile('C:\WINDOWS\system32\nefjeq.exe');
DeleteFile('c:\windows\system32\dsxfoq.exe');
DeleteFile('c:\windows\system32\kumkae.exe');
DeleteFile('c:\windows\system32\oyaceg.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте новые логи
09.12.2010, 18:32
Михаил_83

Новые логи.
10.12.2010, 01:32
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
10.12.2010, 09:53
Михаил_83

Лог ComboFix
10.12.2010, 11:44
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\profiles\All Users\Application Data\Storm\update\%SESSIONNAME%\pkgsq.cc3
c:\windows\system32\drivers\tcpz-x86d.sys
c:\windows\system32\loprku.exe
c:\windows\system32\eisuiw.exe

Driver::
TCPZ
bdgg
der
Power
SmsFam
vrs
WaeqSvc
WaesSvc

Folder::
c:\windows\system32\8FXPT0D0
c:\windows\system32\4D8DCYK6
c:\windows\system32\3XMUJC3D
c:\windows\system32\3XH16D7J
c:\windows\system32\1DLLYR5M
c:\windows\system32\YJ3EKKIT
c:\windows\system32\Y4AA82RL
c:\windows\system32\EFVEVI2I
c:\windows\system32\DM8YJ6NP
c:\windows\system32\DGC6SHPH
c:\windows\system32\DAGG0RR8
c:\windows\system32\D3JOA1T0
c:\windows\system32\DXNWICVS
c:\windows\system32\DRQ4QMXK
c:\windows\system32\DLUEZWZC
c:\windows\system32\D3EVW2X6
c:\windows\system32\DXI35DZY
c:\windows\system32\6XD58K0R
c:\windows\system32\VH6SNSOU
c:\windows\system32\t
c:\profiles\All Users\Application Data\Storm

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"WaeqSvc"=-
"WaesSvc"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://virusnet.info/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
10.12.2010, 12:51
Михаил_83

Новые логи ComboFix
10.12.2010, 13:32
thyrex

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
10.12.2010, 14:49
Михаил_83

Лог MBAM
10.12.2010, 16:21
thyrex

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL][code]Зараженные папки:
C:\Program Files\Save (Adware.WhenU) -> No action taken.

Зараженные файлы:
C:\PROFILES\Administrator\mb\D001.exe (Malware.Packer) -> No action taken.
C:\PROFILES\Administrator\mb\G001.exe (Malware.Packer) -> No action taken.
C:\PROFILES\Administrator\mb\Z001.exe (Malware.Packer) -> No action taken.
C:\PROFILES\Administrator\mb\E002.exe (Malware.Packer) -> No action taken.
C:\PROFILES\Administrator\mb\G002.exe (Malware.Packer) -> No action taken.
C:\Program Files\Save\SaveUninst.exe (Adware.WhenU) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000151.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000153.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000154.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000156.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000157.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000159.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000160.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000162.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000163.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000166.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{265CD683-0DF2-44F9-9E68-43000DE00C20}\RP1\A0000168.exe (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\G001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\1DLLYR5M\Z001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\G001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\3XH16D7J\Z001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\G001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\3XMUJC3D\Z001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\G001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\4D8DCYK6\Z001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\6XD58K0R\A23.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\G001.exe.vir (Malware.Packer) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\YJ3EKKIT\Z001.exe.vir (Malware.Packer) -> No action taken.
C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken.
C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.[/code]Проблема решена?
10.12.2010, 17:11
Михаил_83

1. Письмо отправил. Смотрите, вроде пропустило
2. Всё удалил.
3. Пока по наблюдениям всё в норме, проблемы нет.

Спасибо за помощь.
11.12.2010, 17:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\prmt8\\prmticq\\prmticq.exe - [B]Backdoor.Win32.Httpbot.apu[/B] ( DrWEB: BackDoor.Darkshell.77, BitDefender: Trojan.Generic.5953383, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\dsxfoq.exe - [B]Trojan.Win32.Scar.dgpb[/B] ( DrWEB: Trojan.DownLoad1.53651, BitDefender: GenPack:Trojan.Generic.4575256, NOD32: Win32/ServStart.AI trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\\windows\\system32\\kumkae.exe - [B]Trojan.Win32.Scar.dgjt[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: GenPack:Trojan.Generic.4571416, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\oyaceg.exe - [B]Trojan.Win32.Scar.dgdi[/B] ( DrWEB: Trojan.DownLoader1.8357, BitDefender: Rootkit.48812, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]