Китайский вирус

Printable View

Показывать 40 сообщений этой темы на одной странице

07.11.2009, 13:30
Krat0S

Китайский вирус

Добрый день.
Началась проблема с запуска родителями какого-то файлика пришедшего по аське.
Выразилось все в том, что запущена куча непонятных процессов, в папке винды куча лишних неудаляемых файлов, домашняя страница какая-то китайская и заблокирована от изменений, ко всем ярлыка рабочего стола пристегнуто дополнение вида:
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" lnk "адрес к какому-то левому файлу".
Основной ярык интернет эксплорера стал неудаляем с рабочего стола никакими методами, в контекстном меню к нему непонятно что - на скриншоте:[IMG]http://pic.ipicture.ru/uploads/091107/9zA9veRYMC.jpg[/IMG]
Запуск regedit и прочих служебных программ блокирован.

С помощью AVZ удалось решить большинство проблем, но все же остались некоторые:
1. Та что указана на скриншоте выше.
2. Ко всем дополнительным ярлыкам иэксплорера после каждой перезагрузки или запуска его с основного ярлыка применяется какое-то действие придающее ярлыку вид: "C:\Program Files\Internet Explorer\IEXPLORE.EXE" :http:www.666t.com
3. В процессах время от времени появляются какие-то посторонние типа: "arpdgejo.exe", "q34dfs.exe" и т.п. Удаление этих файлов помогает только до перезагрузки.

Чистил уже вроде все что можно...
Помогите пожалуйста :)
Логи прилагаю.
07.11.2009, 14:06
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{22CB0BB1-F2A4-4c04-8916-2052C3DC6941}');
DelCLSID('{67KLN5J0-4OPM-01WE-AAX5-314CCA553177}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-22CX3C644241}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}');
DelCLSID('{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}');
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
QuarantineFile('C:\WINDOWS\system32\MSImg32.dll','');
QuarantineFile('c:\rEdNuht\sEliF\ReDNuHt.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fragmem.exe','');
QuarantineFile('C:\WINDOWS\system32\0b15.dll','');
QuarantineFile('c:\windows\fonts\kb0209525.dll','');
QuarantineFile('c:\windows\fonts\kb0208455.dll','');
QuarantineFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf','');
QuarantineFile('C:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf','');
QuarantineFile('C:\WINDOWS\system32\rb37sCqvGmszGJ3aQYB5qRczx.inf','');
QuarantineFile('C:\WINDOWS\system32\qzp3jTZCSfSh.dll','');
QuarantineFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf','');
QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll','');
QuarantineFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf','');
QuarantineFile('C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll','');
QuarantineFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll','');
QuarantineFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf','');
QuarantineFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf','');
QuarantineFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf','');
QuarantineFile('C:\WINDOWS\system32\CDuAUVkGy9.dll','');
QuarantineFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf','');
QuarantineFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf','');
QuarantineFile('C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf','');
QuarantineFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf','');
QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\fonts\acCjngH97w.fon','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
QuarantineFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf','');
QuarantineFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf','');
QuarantineFile('C:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf','');
QuarantineFile('C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf','');
QuarantineFile('C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf','');
QuarantineFile('C:\WINDOWS\Tasks\RMjFwVNTbh7TnJJyXgnEVDuxw.inf','');
QuarantineFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf','');
QuarantineFile('C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf','');
QuarantineFile('C:\WINDOWS\Tasks\4H5HJTHFZkxrCpehBpx4TmR.inf','');
QuarantineFile('C:\WINDOWS\Fonts\kb022184811.dll','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur','');
QuarantineFile('C:\WINDOWS\winsccoo.exe','');
DeleteService('WinSCCOM');
QuarantineFile('C:\WINDOWS\system32\s.exe','');
DeleteService('OSEvent');
QuarantineFile('C:\WINDOWS\system32\drivers\NirCmd.exe','');
DeleteService('NirSoft Service Controler');
QuarantineFile('C:\WINDOWS\system32\kspoold.exe','');
DeleteService('kspooldaemon');
QuarantineFile('C:\WINDOWS\lsass.exe','');
DeleteService('kkdc');
QuarantineFile('C:\WINDOWS\system32\hraq.exe','');
DeleteService('hraq');
QuarantineFile('C:\WINDOWS\system32\di8d.exe','');
QuarantineFile('C:\WINDOWS\Fonts\995AB180.EXE','');
DeleteService('90616DE8');
QuarantineFile('C:\WINDOWS\system32\drivers\aprdgejo.sys','');
QuarantineFile('C:\WINDOWS\system32\msinet32d.dll','');
DeleteFile('C:\WINDOWS\Fonts\995AB180.EXE');
DeleteFile('C:\WINDOWS\system32\di8d.exe');
DeleteFile('C:\WINDOWS\system32\hraq.exe');
DeleteFile('C:\WINDOWS\lsass.exe');
DeleteFile('C:\WINDOWS\system32\kspoold.exe');
DeleteFile('C:\WINDOWS\system32\drivers\NirCmd.exe');
DeleteFile('C:\WINDOWS\system32\s.exe');
DeleteFile('C:\WINDOWS\winsccoo.exe');
DeleteFile('C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur');
DeleteFile('C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur');
DeleteFile('C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{84639C2D-CD75-4081-B515-329AFCECBF19}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{526EB425-7F56-4773-8D70-B8E45AA8E2B6}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{F181F067-7046-4DCB-993F-200990736305}');
DeleteFile('C:\WINDOWS\Fonts\kb022184811.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{9B1AE382-2647-4c4a-A313-B36B6CA34BD7}');
DeleteFile('C:\WINDOWS\Tasks\4H5HJTHFZkxrCpehBpx4TmR.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3373CD28-8C35-4A36-8569-672D8CA197F5}');
DeleteFile('C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{11FDB6D4-166A-47BF-A0F8-A09DABA75FC1}');
DeleteFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
DeleteFile('C:\WINDOWS\Tasks\RMjFwVNTbh7TnJJyXgnEVDuxw.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{21437C0D-96C7-40CB-BD46-CE995947E3D1}');
DeleteFile('C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{827E2FB4-1047-43DE-848D-E12BB0C97AAB}');
DeleteFile('C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{81EB905C-EDF8-4033-80BF-E0F4F46733DF}');
DeleteFile('C:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{07B2788F-BD22-404E-B617-4ABCA2C0BF94}');
DeleteFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}');
DeleteFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{6049BC02-7EDA-4C41-B4AB-D5398607C39E}');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}');
DeleteFile('C:\WINDOWS\fonts\acCjngH97w.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{594EFEFB-4932-421C-9C83-A6BEB868E52D}');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}');
DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{2EF0D734-21FD-4225-A1A2-BCD296182AAF}');
DeleteFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{87DE8A1A-96C5-4420-B222-EF998F697CE7}');
DeleteFile('C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C4BD9D5C-04CA-45E6-8539-98B07D99B6BC}');
DeleteFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C07B914B-C164-42D2-9838-1422C3F70D99}');
DeleteFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{1719B301-B494-4185-9379-242461F9CF02}');
DeleteFile('C:\WINDOWS\system32\CDuAUVkGy9.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{93DA1E7D-7C46-4F90-8674-EC90511FCA72}');
DeleteFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf');
DeleteFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}');
DeleteFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{20CFDC59-228C-481F-80B6-404BCFA16B13}');
DeleteFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{51716C09-6B08-4CCF-B526-718E912C0573}');
DeleteFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CD478099-014D-4B3A-A4BB-B518F1019BC7}');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\encyp','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8E6D4583-0FA1-41B2-BAAA-63352E6333CA}');
DeleteFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8A6A5B34-D995-4C5D-9338-B5E264B4A87}');
DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}');
DeleteFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{335A9BAE-19FA-42F2-AFD2-20C3275EF392}');
DeleteFile('C:\WINDOWS\system32\qzp3jTZCSfSh.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{4F5EEDE5-1687-49D2-8A17-FF0B454FB37B}');
DeleteFile('C:\WINDOWS\system32\rb37sCqvGmszGJ3aQYB5qRczx.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{30E05169-5E63-4038-9709-5FAD6E488ED2}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSEvent','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{612A87C6-33C3-4CCF-9F65-55FFC9C83860}');
DeleteFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{74DA2FEC-F68F-4DC7-9A45-9174AC044427}');
DeleteFile('c:\windows\fonts\kb0208130.dll');
DeleteFile('c:\windows\fonts\kb0208455.dll');
DeleteFile('c:\windows\fonts\kb0209525.dll');
DeleteFile('C:\WINDOWS\system32\0b15.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Fragmem.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\Wins.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('c:\rEdNuht\sEliF\ReDNuHt.exe');
DeleteFileMask('c:\rEdNuht', '*.*', true);
DeleteDirectory('c:\rEdNuht')
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
07.11.2009, 22:37
Krat0S

Скрипт выполнил, карантин выслал как указано, дошел?
Вышеуказанные проблемы сохраняются за исключением
[QUOTE]3. В процессах время от времени появляются какие-то посторонние типа: "arpdgejo.exe", "q34dfs.exe" и т.п. Удаление этих файлов помогает только до перезагрузки.[/QUOTE]
Процессов посторонних вроде больше нет.
07.11.2009, 22:50
Никита Соловьев

1. Пофиксите в HJT:
[CODE]O20 - AppInit_DLLs: c:\windows\system32\guard32.dll,msinet32d.dll,msinet32d.dll,cmsinet32d.dll,c:\windows\fonts\kb022184811.dll[/CODE]

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\aprdgejo.exe');
QuarantineFile('C:\WINDOWS\system32\MSImg32.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\sdk.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\dl.sys','');
QuarantineFile('C:\WINDOWS\system32\msinet32d.dll','');
QuarantineFile('C:\WINDOWS\aprdgejo.exe','');
DeleteFile('C:\WINDOWS\aprdgejo.exe');
DeleteFile('C:\WINDOWS\system32\MSImg32.dll');
DeleteFile('C:\WINDOWS\system32\msinet32d.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Сделайте новые логи
08.11.2009, 09:09
Krat0S

Проделал все операции.
После выполнения скрипта перестал запускаться iexplorer и поисчезали многие элементы оформления окон проводника.
Пришлось вернуть файл MSimg32.dll на место.

Карантин выслал.
В системе все по прежнему.
08.11.2009, 13:29
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('C:\WINDOWS\system32\drivers\aprdgejo.sys');
DeleteFile('C:\WINDOWS\aprdgejo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B2CE89DC-16FF-4044-9A43-7710410A0C58}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{7F826903-D0C4-4A05-BA43-36379CEDC745}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
QuarantineFile('F:\rEdNuht\sEliF\ReDNuHt.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\rEdNuht\sEliF\ReDNuHt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Установите на Windows [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация) и последующие обновления.
Установите IE 8.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
12.11.2009, 20:09
Krat0S

Карантин выслал.
Извиняюсь за задержку - медленный инет, долго качал обновления.

СП3 и ИЕ8 установлены.
Проблемы остались.
Нашел в реестре места где корявятся надписи на основном ярлыке Iexplorer. Исправил ручками, поубивал все встреченные ссылки на сайт 666т.ком.
После перезагрузки все снова как и было.
Как бы отследить какой процесс правит определенные ветки реестра при загрузке?
12.11.2009, 20:14
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\aprdgejo.exe');
QuarantineFile('C:\Program Files\Internet Explorer\sdk.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\dl.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aprdgejo.sys','');
QuarantineFile('C:\WINDOWS\system32\wuapi.dll','');
QuarantineFile('C:\WINDOWS\aprdgejo.exe','');
DeleteFile('C:\WINDOWS\aprdgejo.exe');
DeleteFile('C:\WINDOWS\system32\drivers\aprdgejo.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\drivers\aprdgejo.sys');
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл [B]quarantine.zip[/B] из папки AVZ закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы

Сделайте новые логи + такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
13.11.2009, 20:20
Krat0S

Добрый вечер!
После последнего скрипта полегчало :)
В ярлыках эксплорера после перезагрузки перестала появляться ссылка на сайт 666.

Хотя основной ярлык по прежнему нельзя удалить с рабочего стола...
Карантин выслал.
13.11.2009, 20:29
Никита Соловьев

Удалите при помощи МВАМ:
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\newadpopup.toolbardetector (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\newadpopup.toolbardetector.1 (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\newbopomediumpop.popbopo (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\newbopomediumpop.popbopo.1 (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\nexeadpopup.delogc (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\nexeadpopup.delogc.1 (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\nexfadpopup.dflogc (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\nexfadpopup.dflogc.1 (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{0ad3ab16-6d0e-4f04-8660-fb1f36bc2dc0} (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2f685b36-c53a-4653-9231-1dae5736de45} (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{50c4cdd9-22d7-49ff-ac6d-7d4d528a3ab2} (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{526eb425-7f56-4773-8d70-b8e45aa8e2b6} (Trojan.GamesThief) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b9d0f4d7-c809-4c27-9cb4-63201dfb3d05} (Trojan.GamesThief) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8708994f-1758-4c2c-9a3f-fa22d6cccb41} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{08223b03-1b38-4a33-a83a-a4d3cc1d6e4e} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{122b901e-493f-4ad9-bc69-7de8c3e52fcc} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1719b301-b494-4185-9379-242461f9cf02} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{23da65d2-c696-4ee4-bee8-b4841dec3e30} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2ef0d734-21fd-4225-a1a2-bcd296182aaf} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{36ac68e6-0c26-4d39-b98e-54b49dab6baa} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4f5eede5-1687-49d2-8a17-ff0b454fb37b} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{51716c09-6b08-4ccf-b526-718e912c0573} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{87de8a1a-96c5-4420-b222-ef998f697ce7} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e6d4583-0fa1-41b2-baaa-63352e6333ca} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{93da1e7d-7c46-4f90-8674-ec90511fca72} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cd478099-014d-4b3a-a4bb-b518f1019bc7} (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a5c0cbc3-ccb9-17cf-f0b4-6ac9b0ef4f5e} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{34a12a06-48c0-420d-8f11-73552ee9631a} (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cde9eb54-a08e-4570-b748-13f5ddb5781c} (Trojan.Clicker) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{de2267bd-b163-407f-9e8d-6adec771e7ab} (Trojan.Clicker) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11f09afd-75ad-4e51-ab43-e09e9351ce16} (Trojan.Clicker) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\iehpr.invoke (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\iehpr.invoke.1 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\newpush (Adware.CPush) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\cpush (Adware.Pushware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MicroPlugins (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IDSCNP (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\693ghod|v.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\693vdiher{.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\693vriwpjuvyf.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\693wud|.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DrRtp.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\command.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ContentMatch (Adware.Pushware) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> No action taken.

Заражено папок:
C:\Documents and Settings\All Users.WINDOWS\Application Data\t (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\ad (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\ad\d3e82eb02 (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\PushWare (Adware.CPush) -> No action taken.
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Com\1.2.8 (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\ad15361.exe (Trojan.Cinmus) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\ad15361[2].exe (Trojan.Cinmus) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\ieplug.dll (Malware.Packer) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\IEPLUG.Tmp (Malware.Packer) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\mail.jp0.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\Admin\DoctorWeb\Quarantine\mail.jpg.exe (Malware.Packer) -> No action taken.
C:\Program Files\Common Files\System\QQX4sz.exe (Trojan.Agent) -> No action taken.
D:\tmp\avz4\LOG\4\q\2009-11-08\avz00003.dta (Trojan.Agent) -> No action taken.
D:\tmp\avz4\Quarantine\2009-11-12\avz00003.dta (Trojan.Agent) -> No action taken.
D:\tmp\tmp\distr\Activ\Activation_WinXP_2k3\AntiWPA_Crypt.dll (Hacktool) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\a2202.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\b2202.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\k2202.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\p2202.dat (Trojan.Agent) -> No action taken.
C:\Documents and Settings\All Users.WINDOWS\Application Data\t\r2202.dat (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\PushWare\ws2help.dll (Adware.CPush) -> No action taken.
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\System\admin.obj (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Common Files\System\htrn_jis.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\dfc8ac3ed7da.dll (Spyware.OnlineGames) -> No action taken.
C:\WINDOWS\system32\myInsDll.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Processa.dll (Trojan.PWS) -> No action taken.
C:\WINDOWS\system32\drivers\CztF.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\userinit.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.[/CODE]

Перезагрузите ПК. Сделайте новый лог МВАМ
14.11.2009, 09:30
Krat0S

Кажется все получилось!
Никаких описанных проблем пока не наблюдается.

Спасибо огромное!
14.11.2009, 11:25
anton_dr

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
14.11.2009, 12:53
Krat0S

Пожалста :)
14.11.2009, 13:38
AndreyKa

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\dl.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\sdk.dll','');
DeleteService('aprdgejo');
QuarantineFile('C:\WINDOWS\system32\drivers\aprdgejo.sys','');
QuarantineFile('c:\program files\common files\system\qqx4sz.exe','');
DeleteFile('c:\program files\common files\system\qqx4sz.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{7F826903-D0C4-4A05-BA43-36379CEDC745}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B2CE89DC-16FF-4044-9A43-7710410A0C58}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
15.11.2009, 15:24
Krat0S

Карантин пуст, файлы
[CODE]QuarantineFile('C:\Program Files\Internet Explorer\PLUGINS\dl.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\sdk.dll','');[/CODE]
я удалил давно,
[CODE]
DeleteService('aprdgejo');
QuarantineFile('C:\WINDOWS\system32\drivers\aprdgejo.sys','');[/CODE]
удалились Вашими скриптами какое-то время назад,

[CODE] QuarantineFile('c:\program files\common files\system\qqx4sz.exe','');[/CODE]
я удалил вчера - я постоянно мониторю процессы.
15.11.2009, 15:26
Никита Соловьев

Сделайте лог GMER (ссылка у меня в подписи)
16.11.2009, 19:26
Krat0S

Вот.
18.11.2009, 18:22
Krat0S

Добрый вечер!

Все, я могу считать свой комп чистым от вирусов? :)
19.11.2009, 19:38
Никита Соловьев

Лог гмер чист.
Какие-нибудь симптомы присутствуют?
20.11.2009, 17:22
Krat0S

Все чисто :)

Спасибо большое!

Показывать 40 сообщений этой темы на одной странице