Ходячий носитель вирусняков>:(

Добрый день всем.
Почитал тему "Осторожно, експлоит.." про внедренный файл atixdaxx.dll, теперь волнуююсь... Дело в том что одна сотрудница опять (в последнее время только она и ловит>:() поймала вирусняк (при чем с определенного сайта - по-этому первый вопрос: к кому обратиться, чтоб поверить не взломан ли он?). Как в моей предыдущей теме [B]Не загружается комп! ASAP!![/B]. на корне С: появились странные файлы *.tmp. На этот раз я не спешил их удалять (предварительно кинул АВЗтом в карантин - если надо пришлю). Обраружил winlogon.exe в левой папке. Также АВЗ заподозрил перехватчик клавиатуры в удаленном Авасте. Еще меня беспокоит то, что в отчете АВЗ слишком много модулей видяхи ATI опознаны как небезопасные...

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sort.dll','');
QuarantineFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\NDIS.sys','');
QuarantineFile('C:\fwdrv.sys','');
BC_ImportQuarantineList;
BC_QrSvc('runtime');
BC_DeleteSvc('runtime');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам.

И следом еще такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Остальное после анализа карантина.

карантин закачал весь (с файлами, помещенными туда во время проверки). winlogon вроде удалял ранее, но в автозагрузке он висит. как убрать из msconfig'a?

Вопреки ожиданиям, ndis.sys вроде бы чистый, отправил в ЛК на всякий случай. Остальные уже удалены. Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\sort.dll (file missing)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ВИКТОРИЯ\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
[/code]
перезагрузитесь и сделайте новые логи.

Пофиксил первую строку, остальных двух не было уже. Возникли некоторые проблемы - Каспер начал ругаться на
Windows\Еxplorer.EХE - потенциально опасное ПО mass-mailer
и некий systems32\LFZ.dll -троян, удален.
Винда начала плохо грузиться... Как восстановить Explorer?

Без логов ничего не могу сказать. Может, успели новенького подцепить?

ок.. жду пока загрузится в Safemode, попытаюсь сделать логи. PS. Постоянно забываю написать. в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число

[QUOTE]в корне С: постоянно появляются файлы cd????.NLS. Где ???? - 4х-значное число[/QUOTE]
А вот это уже признак того самого спам-бота, который ndis.sys, однако про него пришел ответ из ЛК, что якобы все чисто! Давайте все-таки его заменим на заведомо правильный. И еще C:\fwdrv.sys мы упустили, в карантин он не попал. Попробуйте его найти вручную, он должен найтись.

Далее, скачайте патч: [attach]10580[/attach], в безопасном режиме запустите его и нажмите кнопку [B]Patch[/B]. После этого выполните скрипт:
[code]
begin
DeleteFile('C:\cd*.nls');
DeleteFile('C:\fwdrv.sys');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
Полагаю, это должно решить проблему.

Сейчас буду делать скрипт и восстанавливать ndis. Сделал логи, но не уврен что полностью - АВЗ зависает. Может переименовать АВЗ? Но не могу скопировать логи на флешку...

Что-то мы забыли про этот файлик?
Выполните скрипт в Safe Mode:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\windev-5c23-5450.sys','');
RebootWindows(true);
end.[/CODE]

Если в карантин попадет этот файлик, то прислать его.

@PavelA - В первом логе AVZ:
[QUOTE]C:\WINDOWS\system32\windev-5c23-5450.sys >>>>> Packed.Win32.Tibs.ab успешно удален[/QUOTE]

Файлы *.nls не удаляются ((

Вы сделали патч и скрипт из сообщения #9 ?
Давайте теперь логи, будем смотреть, что осталось.

@Bratez Прозевал.. понедельник, однако.

да, пропачил, но файлы не удалились.. ( зато удалились вручную...) не могу скопировать логи.. вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?

[QUOTE]вообще никакие файлы не могу ни скопировать, ни вставить. Можно ли это както устранить?[/QUOTE]
1. Попробуйте в AVZ Восстановление системы #6 и #8.
2. Как насчет команды контекстного меню "Отправить" ("Send to")?

1. ни к каким изменениям не привело(( 2. пробовал.. через проводник пробовал.. не знаю как еще не пробовал..

не могу ан-исталить каспера.. ошибка windows installer..
привожу еще симптомы: на панели задач не отображаются открытые окна, не работает сеть, не копируются, не перемещаются файлы...
кстати, на сайте все еще запускается троян при входе. Как ссылку вам кинуть, чтоб проверить сайт? Может отсюда получится решить проблему?

Как вариант: в Safe Mode создать пользователя "Test" с привилегиями Администратора.
Загрузиться и посмотреть на поведение компьютера.

Есть мысль, что глюки останутся в профиле существующего поль-ля.

Торопится выполнять не спеши, м.б. кто-нибудь чего-нибудь еще предложит.

Вариант 2: скопировать логи на дискетку !!! Это можно сделать и из Safe Mode.

Адрес сайта напиши мне в ЛС. Передадим аналитикам.

я все равно не смогу скопировать или отправить вам ни третий, ни десятый лог... Сейчас пытаюсь восстановить сеть и интернет с помощью winsock.
Куда обратиться с поимкой зверя на сайте?

так, связь настроена.. ждите логи

Пиши сюда в тему. В режиме "Ответить" есть спецсмайлик "Http://"

[QUOTE]Как ссылку вам кинуть, чтоб проверить сайт?[/QUOTE]
Надо сначала ваш комп вылечить.
А в безопасном файлы тоже не копируются?
На всякий случай, попробуйте в AVZ Восстановление системы #9 и #16, и перезагрузиться.
Как еще можно скопировать:
Можно поставить файл-менеджер (Far, Total Commander...)
Можно написать батник с командами типа:
copy "c:\....\avz\log\virusinfo_syscure.zip" a:\
(если путь не содержит пробелы, кавычки не надо)
Можно попробовать вместо проводника использовать IE (набрать в адресной строке C:\ дальше все как всегда).

привет всем.
комп удалось реанимировать с помощью winsock'a.. Интересная утилитка - думал для восстановления сети и интернета, а теперь даже копирить могу)) надо будет ознакомиться с ней поближе
итак вот логи:

и вот смайлик: :http:maetok.net

С нетерпением жду ответа

Профиксить в HijackThis:
[CODE]O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/CODE]

Почистить временные файлы Интернета.

Отключить "Восстановление системы" - убьем трояна.

Скрипт выполнил, файлы удалил (в temp'ax не удаляются несколько файлов, якобы используются к.-л. приложением), восстановление отключил. Что делать дальше?

[QUOTE]Что делать дальше?[/QUOTE]
Если проблем больше не наблюдается - радоваться жизни ;)
IMHO, мы с вами уже все вылечили.

Я этим пользуюсь, ничего не оставляет ;) [url]http://www.ccleaner.com/download/downloadpage.aspx?f=2[/url]

Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию [/b](Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

а что с сайтом? кто-нить его проверит? у меня на него КИС сразу ругается

ОТ: Есть другая проблема с startdrv в темпе на другом компе. Все воде почистил, но в темпе сразу после запуска появляется эт файл - КИС его сразу удаляет, но после перезагрузки опять появляется. Или это уже новую тему создавать?

[QUOTE]Или это уже новую тему создавать?[/QUOTE]
Создавайте новую.

Проверили. Сайт хакнули :( Что сидит точно сказать не могу.
Будут рез-ты напишу.

[QUOTE=M@xWell;118306]
ОТ: Есть другая проблема с startdrv в темпе на другом компе. Все воде почистил, но в темпе сразу после запуска появляется эт файл - КИС его сразу удаляет, но после перезагрузки опять появляется. Или это уже новую тему создавать?[/QUOTE]

Самая популярная тема прошлой недели. ;)

о!! так я почитаю темки, мож найду че-нить)

ЗЫ. Ждем-с результатов. Сайт-то сам мне не нужен, но не хочется чтоб люди пользовались и разносили заразу...

startdrv пофиксил с помощью предыдущих тем)) сразу у девочек пропали проблемы с MS Word'ом)

зы. жду результатов проверки сайта)

Сайт хакнут, в конце страницы есть вредоносный код.

Код кто-нибудь исправит? Или владельцам сайта сообщит?

[QUOTE]Код кто-нибудь исправит?[/QUOTE]
Это к вебмастеру.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\виктория\\рабочий стол\\3.exe - [B]Trojan-Downloader.Win32.Small.dyh[/B] (DrWEB: Trojan.DownLoader.24759)[*] c:\\docume~1\\виктория\\locals~1\\temp\\winlogon.exe - [B]Virus.Win32.Grum.j[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]