сомнения...

Printable View

08.07.2007, 12:01
punk_prankster

сомнения...

Позавчера закончил чиститься с вашей помощью. Вчера же решил сделать проверку, запустил скан АВЗ - пишет, что не обнаружено ничего вредоносного, но тем не менее в теле программы были такие строчки:
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\4.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\96.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\98.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\9A.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temp\9C.tmp[/FONT][/COLOR]
[COLOR=red][FONT='MS Sans Serif']C:\Documents and Settings\[/FONT][/COLOR][COLOR=red][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=red][FONT='MS Sans Serif']\Local Settings\Temp\dodatok_flash_1\ZIMIN.ZIP Invalid file - not a PKZip file[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\Documents and Settings\[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']Матухно[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif']\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\system32\aspimgr.exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\system32\dllh8jkd1q6.exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\system32\dllh8jkd1q7.exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\system32\vedxg4am1et2.exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\system32\vedxga4m1et4.exe[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое[/FONT][/COLOR][COLOR=black][/COLOR][COLOR=black][FONT='MS Sans Serif']чтение[/FONT][/COLOR][COLOR=black][FONT='MS Sans Serif'] C:\WINDOWS\Temp\armA54.tmp[/FONT][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Прямое чтение C:\WINDOWS\Temp\INF3BA.tmp[/FONT][/COLOR]
[COLOR=black][/COLOR]
[COLOR=black][FONT='MS Sans Serif']Мне кажется, что это таки вирусы, но чего пишется просто "прямое чтение" тогда? И еще на локальном диске С есть файлик с подозрительным именем - xx1232255.exe. Проверил CureIt-ом и Nod-ом этот файл и все выше упомянутое - все чисто, хот я почему-то в это не верю. Логи АВЗ прикрепил.[/FONT][/COLOR]
[COLOR=black][/COLOR]
08.07.2007, 12:07
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
BC_QrFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe');
BC_QrFile('C:\WINDOWS\system32\aspimgr.exe');
BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
BC_QrFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
BC_QrFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
BC_QrFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
BC_QrFile('C:\WINDOWS\Temp\armA54.tmp');
BC_QrFile('C:\WINDOWS\Temp\INF3BA.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]Потом ещё один[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('yes.exe');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O4 - HKLM\..\Run: [ALCalendar] yes[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
08.07.2007, 12:40
punk_prankster

[quote=Maxim;121101]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [code]
O4 - HKLM\..\Run: [ALCalendar] yes[/code]
[/quote]

вот эту строчку что-то не могу найти, предыдущеи 2 пофиксил; скрпиты выполнил; карантин выслал; сейчас прикреплю новые логи.
08.07.2007, 12:41
Макcим

Кто Вас просил делать новые логи?
08.07.2007, 12:45
punk_prankster

[quote=Maxim;121110]Кто Вас просил делать новые логи?[/quote]

эммм... сорри...
08.07.2007, 13:06
Макcим

Загрузитесь в режиме [url=http://virusinfo.info/showthread.php?t=9279]Safe Mode[/url]. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\Content.IE5\EDKVU125\winud32[1].exe','');
QuarantineFile('C:\WINDOWS\system32\aspimgr.exe','');
QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q6.exe','');
QuarantineFile('C:\WINDOWS\system32\dllh8jkd1q7.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxga4m1et4.exe','');
QuarantineFile('C:\WINDOWS\Temp\armA54.tmp','');
QuarantineFile('C:\WINDOWS\Temp\INF3BA.tmp','');
RebootWindows(false);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
08.07.2007, 13:47
punk_prankster

карантин отправил
08.07.2007, 14:26
Макcим

vedxg4am1et2.exe - [B]Packed.Win32.Tibs.an[/B]
vedxga4m1et4.exe - [B]Trojan-Downloader.Win32.Tibs.mq[/B]
armA54.tmp - [B]Trojan-Downloader.Win32.Agent.bhp[/B]
Остальные пока не детектируются.

Загрузитесь в режиме [url="http://virusinfo.info/showthread.php?t=9279"]Safe Mode[/url]. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Матухно\Local Settings\Temporary Internet Files\*.*');
DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
DeleteFile('C:\WINDOWS\system32\dllh8jkd1q6.exe');
DeleteFile('C:\WINDOWS\system32\dllh8jkd1q7.exe');
DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
DeleteFile('C:\WINDOWS\system32\vedxga4m1et4.exe');
DeleteFile('C:\WINDOWS\Temp\*.*');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]Повторите логи.
08.07.2007, 16:05
punk_prankster

повторил.
08.07.2007, 16:23
punk_prankster

и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?

вот я его проверил на [URL]http://www.virustotal.com/vt/en/resultadof?35fd0f9f956c05b929d3290e460ab33c[/URL]
08.07.2007, 17:26
Макcим

[QUOTE='punk_prankster;121155']и как быть с упомянутом в самом первом посту файлом "xx1232255.exe"?[/QUOTE]Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.

Мой Вам совет: поставьте любой из антивирусов, который детектит Ваш файл на VirusTotal и запустите полную проверку компьютера. Конечно можно файл отправить в вир. лаб NOD'а и ждать месяц сигнатуры...
08.07.2007, 18:22
punk_prankster

[quote=Maxim;121166]Сами удалить сможете? Есть нет, то скажите точный путь и имя файла.
[/quote]

не-а, вручную боюсь. пропишите лучше скрипт Вы.
находbтся прямо на С ни в какой из папок - C:\xx1232255.exe
08.07.2007, 18:27
Bratez

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\xx1232255.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
08.07.2007, 18:45
punk_prankster

убил тот файл, но вылез другой C:\op (без какого-либо расширения) проверка на ВирусТотале показала [url]http://www.virustotal.com/vt/en/resultadof?edc1d389515f0be0fffa7f4676ad8c23[/url]
08.07.2007, 19:29
Макcим

Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?
08.07.2007, 19:33
Muzzle

Не нравиться мне этот winpop...
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\WinPop\winpop.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
08.07.2007, 19:50
punk_prankster

[quote=Maxim;121192]Удаляйте NOD, ставьте Касперского, обновляйте базы и сканируйте комп с максимальными настройками. Есть файрвол? Расшареные папки?[/quote]
FireWall родной виндоуский, другие не ставил...
09.07.2007, 04:52
Muzzle

вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик [B]winpop.exe[/B] и пришлите по правилам.
09.07.2007, 10:48
punk_prankster

[quote=Muzzle;121239]вы мой скрипт выполняли? если нет то выполните.если карантин будет пустой то поищите файлик [B]winpop.exe[/B] и пришлите по правилам.[/quote]

да, сразу же выполнил как вы его написали. в карантине упомянутого файла нету, буду искать вручную.

[size="1"][color="#666686"][B]Добавлено через 25 минут[/B][/color][/size]
искал вот только что этот winpop.exe, так ни с помощью АВЗ, ни с помощью стандартной искалки он не находится :( как быть?!
09.07.2007, 11:39
Muzzle

Выполните такой скрипт
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\op');
DeleteFile('C:\Program Files\WinPop\winpop.exe');
SysCleanAddFile('winpop.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
и повторите логи.
09.07.2007, 12:33
punk_prankster

сделал.
09.07.2007, 12:56
Muzzle

в логах всё чисто.что то ещё беспокоит?
09.07.2007, 13:00
punk_prankster

[quote=Muzzle;121312]в логах всё чисто.что то ещё беспокоит?[/quote]

вроде нет, спасибо большое за помощь!