С меня перевели все WebMoney, видимо словил трояна. Систему почистил КИСом и Аутпостом. тут логи AVZ & HijackThis.

появились в корне С:\ три экзешника но КИС сразу показал их попытки доступа к реестру которые и были заблокированы! Файлы удалены (хотя вири в них не обнаружены оО) После этого прогнал диски на поиск вирусов и руткитов - все чисто. вечером в 22-45 из кипера перевели все до копейки (конечно сумма относительно не большая, ~2000вмр, но все же).

Кстати после этих фигней с 3 файлами и их попыток была нужда загрузить кипер - в нем почему-то перестал быть сохранен мой ВМИД, я его прописал там по новой, указал кошельки, ввел пароли, на почту выслали авторизацию и я этот код ввел. После этого в кипер до сегодняшнего вечера не заходил.

Всю систему проверил КИСом. Удалил экзешник и дллку из папки system32/drivers (KIS не видел в них вируса кстати).




Сейчас какая проблема: Все ли я вычистил и чиста ли система? Проверил по инструкции в этом разделе прогами AVZ & HijackThis. Логи прикрепляю ниже.
На данный момент стоят и Аутпост и КИС7. Из вирусом они ничего не показывают. Т.е. типа после того случая все удалено...

Буду рад Вашей помощи.

outpost с кис не сочетаются в кисе свой ферволл .... outpost - убрать ..
пофиксите ...
[code]
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - ktask.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E1290342-AAFF-4f7c-9F45-D665E4BF1A00}');
QuarantineFile('ktask.dll','');
QuarantineFile('C:\WINDOWS\system32\cxscheca001.dll','');
QuarantineFile('ke32paag.dll','');
QuarantineFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe');
DeleteFile('ke32paag.dll');
DeleteFile('C:\WINDOWS\system32\cxscheca001.dll');
DeleteFile('ktask.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Сделал оба действия.

Карантин выслал.

Что-то еще от меня требуется? Повторное сканирование системы?
Вообще как ? Что-то было плохое или все неплохо?

В карантин тех кого хотели не попали.
Сделайте новые логи...

[quote=wise-wistful;201473]В карантин тех кого хотели не попали.
Сделайте новые логи...[/quote]
Сделал все тоже самое что в начале темы делал (три новых файла прикрепляю к этому сообщению).

Прогнал еще раз написанный выше скрипт однако в каратине так и осталось теже 4 файла. (Т.е. ничего нового! Какой я отправлял карантин через форму такой он и остался)


П.С.: Подскажите еще плиз: Надо ли повторно менять пароли всякие разные если я их сменил еще до обращения на этот форум? (Или было среди логов что-то страшное?)

Сказать точно мы не сможем, т.к. образцы зловредов в карантин не захотели, можем только предположить, что temp\winlogon.exe - [b]Trojan-Proxy.Win32.Small.hu[/b], WINDOWS\csrss.exe может быть [b]Email-Worm.Win32.Scano.ac[/b], cxscheca001.dll - [b]Trojan-PSW.Win32.Agent.im[/b] по поводу остальных, кто его знает кто это был. Пароли в принципе можно для перестраховки сменить ещё раз после окончания лечения.
TrafficCompressor - Вы устанавливали?
[b]Ip6Fw.sys[/b] - поищите при помощи авз сервис--поиск файлов на диске, найдётся, пришлите согласно приложению 2.

temp\winlogon.exe
WINDOWS\csrss.exe
cxscheca001.dll

Этих файлов у меня на жестком нету. Т.е. вручную я их не нашел.


TrafficCompressor - устанавливал я но уже давно не юзаю.


Ip6Fw.sys - на диске нет. Есть только Ip6Fw.sys.tmp в той же папке.

[QUOTE=asp1r1n;201682]temp\winlogon.exe
WINDOWS\csrss.exe
cxscheca001.dll
Этих файлов у меня на жестком нету. [/QUOTE]
естественно нет ... мы же их удалили скриптом ...
Ip6Fw.sys.tmp - согласно приложения 3 правил ...

Ip6Fw.sys.tmp - выслал согласно приложения 3

присланный файл чистый ...

[quote=V_Bond;201920]присланный файл чистый ...[/quote]
Сегодня за время моего отсутствия КИС7 сругался на непонятный файл:

обнаружено: потенциально опасное ПО Invader Процесс: з…ґб“Їо®”зІђаґЂл«›жњ¬б“Їи¶�лўЂи·ЊлўЂ (просто куча квадратиков на этом месте)


Прикрпелю сегодняшние логи АВЗ и Джека. Если не трудно посмотрите

Ну и вообще - что-то еще нужно ли делать?

у вас установлены аутпост и кис ... это нормально работать не будет ....
инвайдер - это попытка внедрения в процесс что нормально для защитных программ ...
зловредного ничего не видно ....

Ок спасибо за помощь

Одну строчку ещё пофиксите в hijackthis - мусор остался.
[code]O20 - Winlogon Notify: ke32paag - C:\WINDOWS\[/code]

Подскажите пожалуйста что за процесс сидит в КИСовском файволе под названием system (всякие svchost.exe видны что в папке виндовс они а у этого system - папка написана system, и разрешает он все входящие и исходящие УДП пакеты...

svchost.exe запущен от имени system , так запускаются службы windows

Я убрал галочку с "систем" - все также и работает. Или она там верно стояла?

Не могу понять че-то... В папке C:\Documents and Settings\Artyom\Local Settings\Temp\ постоянно содается файл file***.exe (вместо звезд левые цифры). Вышлю файл сейчас по приложению 3. Посмотрите плиз что за файл такой. Каспер как всегда молчит. Говорит только на попытки этого файла достучаться до ДНС сервера и куда-то еще (все это блокируется мной). однако файл уже сидит в это время в процессах и жрет нехило % загрузки ЦП. Завершаю его через дистпечер задач и удаляю из папки...

Откуда он берется вобще и что за файл? Отсылаю по приложению 3 его в архиве...

пришла пора делать новые логи .... что -то вы цепляете через дыры в системе вы ИЕ используете в качестве браузера ?

Да, Maxthon, по сути ИЕ.
Что там с файликом?
Логи до вечера сделаю. Но сам сканил ничего не нашел.... Но скину все равно.

Ждёмс ответа аналитиков по поводу файлика.

[quote=asp1r1n;204585]Да, Maxthon, по сути ИЕ.
Что там с файликом?
Логи до вечера сделаю. Но сам сканил ничего не нашел.... Но скину все равно.[/quote]
Сорри что так поздно. Прямо сейчас просканировал систему. Прикрепляю логи!

ktask.dll - [b]Trojan-Spy.Win32.Banker.jnj[/b]

Заметил, что Вы пользуетесь вебмани....смените пароли.

[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]

В логах ничего подозрительного не заметмил.

ktask.dll - Trojan-Spy.Win32.Banker.jnj
Заметил, что Вы пользуетесь вебмани....смените пароли.
--------------------
Это в новых логах? Не могу найти этот файл на диске.... Где Вы его увидели? В новых логах где он...

И что с тем файлом который я выслал (файл***.ехе)

file849.exe_ - [b]Backdoor.Win32.Agent.fxa[/b]
Отключите восстановление системы, как написано в правилах.
Очистите кеш интернета.
Очистите папку
C:\Documents and Settings\Artyom\Local Settings\Temp\

Выполните пункт 2 правил.

file849.exe_ - Backdoor.Win32.Agent.fxa - что за файл? что делает?

Примерно это же
[quote]Бэкдор позволяет по команде «хозяина» загружать на зараженную машину любые файлы, запускать их, просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, проводить DoS-атаки, запускать на зараженной машине прокси серверы, отсылать злоумышелннику подробную информацию о системе, в том числе настройки почтовых протоколов, вводимые с клавиатуры пароли, скриншоты экрана и другую информацию.[/quote]

Кеши и темпы почистил.
Пункту 2 это CureIT? Сделаю...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Кстати сейчас этого файла и подобных не загружается на компьютер. Да и логи АВЗ прикреплены после его удаления... Там я так понял ничего нет опасного.

[QUOTE=asp1r1n;206293]Кеши и темпы почистил.
Пункту 2 это CureIT? Сделаю...[/QUOTE]

Да, Cureit!, нужно сделать полную проверку, как написано в правилах.

pqntdrv.sys c:\windows\system32\drivers Trojan.Spambot.2419 Удален.

И все....

Это хорошо, что удален. Какие-то проблемы остались?
Если есть какие-то сомнения - можете сделать новые логи.

У меня то проблем нет. Сменил все пароли и пересоздал ключи от вебмани, записав их на СД. Поставил блокировку по айпи для доступа к кошельку.
Но пока у меня кошелек заблокирован так что проверить насколько надежна теперь защита не получается. (т.к. я сам не могу с него ничего не перевести). Ну с этим уже разбирается арбитраж, после поулчения персонального аттестата...

Вам же большое спасибо за помощь...

Сегодня кстати поймался какой-то win.exe после открытия сайта umatno.ru (Теперь не буду его посещать....), и попытался запуститься, на что КИС запретив запуск и обнаружив вирус сам его удалил.

Вобщем буду надеяться что все манипуляции и настроенный КИС в дальнейшем мне хоть как-то помогут.

Не помню, советовал или нет - прочитайте книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" [url]http://security-advisory.virusinfo.info/[/url]
Там много полезного :)

И, если вас не затруднит, можно нам помочь вот таким образом - [url]http://virusinfo.info/showthread.php?t=3519[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ktask.dll - [B]Trojan-Banker.Win32.Banker.jnj[/B] (DrWEB: Trojan.PWS.Finanz)[*] \\file849.exe - [B]Backdoor.Win32.Agent.fxa[/B] (DrWEB: BackDoor.FireOn)[/LIST][/LIST]