опять злобные вирусы. посмотрите плиз логи

Printable View

08.04.2009, 17:05
pcsoft

опять злобные вирусы. посмотрите плиз логи

постоянно какой-то вирус
[COLOR=red][FONT=MS Sans Serif]Backdoor.Win32.KeyStart.bz [/FONT][/COLOR]в C:\WINDOWS\Temp

часто закрываеться opera (версия 9.6)

нет доступа к некоторым сайтам

загрузка безопасного режимаься прерывается на файле sptd.sys
08.04.2009, 17:32
PavelA

А у Вас Кидо, кроме всего прочего живет.
Профиксить:
[CODE]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll[/CODE]
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\pxdik.dll');
QuarantineFile('C:\WINDOWS\system32\pxdik.dll','');

QuarantineFile('digiwet.dll','');
QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askPopStp.dll','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askPopStp.dll');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\svcnost.exe,');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Загрузить карантин.
08.04.2009, 18:32
pcsoft

[QUOTE=PavelA;384713]А у Вас Кидо, кроме всего прочего живет.
[/QUOTE]

надеюсь он сейчас умрет :)

новые логи и карантин
08.04.2009, 20:44
pcsoft

[QUOTE=pcsoft;384702]
нет доступа к некоторым сайтам
[/QUOTE]

вот уже есть прогресс-могу зайти на сайты каспера и авиры! СПАСИБО!

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

[QUOTE=pcsoft;384751]
новые логи и карантин[/QUOTE]

от волнения прицепил карантин вместе с логами-уже исправил=выложил отдельно. прошу прощения :(
08.04.2009, 21:09
light59

virus.zip из темы убрать!
Убирать в "Мой кабинет" - "Вложения".

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
[/CODE]
Kidokiller нашёл что-нибудь?

Установите Adobe Reader 9.1 или деинсталлируйте старый.
Установите все обновления безопасности, вышедшие после SP3.
Устанвоите IE8.
08.04.2009, 21:48
pcsoft

[QUOTE=light59;384795]Установите все обновления безопасности, вышедшие после SP3[/QUOTE]

извините а можно подробнее
08.04.2009, 21:51
light59

В Автоматическом обновлении "Уведомлять, но не загружать обновления".
Там потом выберите обновления безопасности.
08.04.2009, 22:17
pcsoft

[QUOTE=light59;384795]Kidokiller нашёл что-нибудь?

[/QUOTE]

насколько я понял килер ничего не нашел
может попробовать AVPTool запустить?
08.04.2009, 22:36
Гриша

Проверьтесь, хуже не будет...
09.04.2009, 10:27
pcsoft

[QUOTE=pcsoft;384849]насколько я понял килер ничего не нашел
может попробовать AVPTool запустить?[/QUOTE]

AVPTool нашел несколько тварей в том числе и КИДО, вроде удалил их попожже выложу логи
09.04.2009, 10:31
light59

Обновления ставьте...
Установите надёжный пароль на учётку Администратор
Отключите автозапуск со съемных носителей. (В "Чаво" написано как).
Очистите все темп-папки
09.04.2009, 13:26
pcsoft

новые логи
09.04.2009, 13:28
Гриша

Ничего плохого...
11.04.2009, 13:00
pcsoft

пропал звук и соединение с интернетом (после перезагрузки все ОК)
запустил с утра Авиру-опять какие-то твари
вот новые логи

upd: P.S. а "безопасный режим" можно вернуть?
11.04.2009, 13:24
Rene-gad

[QUOTE=pcsoft;386095]пропал звук и соединение с интернетом (после перезагрузки все ОК)[/QUOTE]Так что СЕЙЧАС?
[QUOTE=pcsoft;386095]запустил с утра Авиру-опять какие-то твари[/QUOTE]Запустил - значит на сканирование дисков? Где и что найдено?

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Повторите логи
11.04.2009, 14:36
pcsoft

[QUOTE=Rene-gad;386099]Так что СЕЙЧАС?[/QUOTE]

прошу простить за неясность мысли-полночи не спал (сейчас все работает)
[QUOTE=Rene-gad;386099]
Запустил - значит на сканирование дисков? Где и что найдено?
[/QUOTE]

да просканировал

4/11/2009 10:43 [Scanner] Malware found
The file 'C:\WINDOWS\I386\SVCPACK\Logo.exe'
contained a virus or unwanted program 'TR/Agent.221001.A' [trojan]
Action(s) taken:
A backup was created as '4a474a8d.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '4a474a8e.qua' ( QUARANTINE ).

4/11/2009 10:33 [Scanner] Malware found
The file 'C:\Documents and Settings\All Users\Application
Data\Microsoft\bits.dll'
contained a virus or unwanted program 'TR/Downloader.Gen' [trojan]
Action(s) taken:
A backup was created as '4a54484e.qua' ( QUARANTINE ).
Attempting to perform action using the ARK lib.
A backup was created as '4804a367.qua' ( QUARANTINE ).

4/11/2009 10:32 [Guard] Malware found
Virus or unwanted program 'TR/Agent.221001.A [trojan]'
detected in file 'C:\WINDOWS\oemlogo.exe.
Action performed: Delete file

+ новые логи
11.04.2009, 15:20
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\I386\SVCPACK\Logo.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll','');
QuarantineFile('C:\WINDOWS\oemlogo.exe','');
BC_ImportAll;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Карантин пришлите по правилам.
11.04.2009, 18:18
pcsoft

карантин закачал
11.04.2009, 19:14
Rene-gad

C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll - не попал в карантин. Поищите и закачайте его вручную (приложение 3 правил)
11.04.2009, 19:38
pcsoft

[QUOTE=Rene-gad;386216]C:\Documents and Settings\All Users\Application Data\Microsoft\bits.dll - не попал в карантин. Поищите и закачайте его вручную (приложение 3 правил)[/QUOTE]

на диске с этого файла не нашел
11.04.2009, 19:48
Rene-gad

[QUOTE=pcsoft;386221]на диске с этого файла не нашел[/QUOTE]Может Авира его шандарахнул. Авира у Вас бесплатная английская? Если да- можете обновить на 9-ю версию.
11.04.2009, 20:35
pcsoft

[QUOTE=Rene-gad;386224]Авира у Вас бесплатная английская? [/QUOTE]

Авира английская с русификатором.

В принципе на данный момент осталась одна проблема-разрыв vpn-подключения к интернет=которое требует постоянных перезагрузок для подключения. Что посоветуете?

помогите пожалуйста :(
12.04.2009, 11:21
Rene-gad

[QUOTE=pcsoft;386350]помогите пожалуйста :([/QUOTE]А что Вам хочется услышать? В логах чисто... Больше мы ничего сказать не можем. Ищите в гугле по [URL="http://lmgtfy.com/?q=vpn+%D1%82%D1%80%D0%B5%D0%B1%D1%83%D0%B5%D1%82+%D0%BF%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%BD%D1%8B%D1%85+%D0%BF%D0%B5%D1%80%D0%B5%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BE%D0%BA+%D0%B4%D0%BB%D1%8F+%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F"]VPN - соединениям.[/URL]
12.04.2009, 11:34
pcsoft

понял. БОЛЬШОЕ Вам человеческое спасибо :)

попробуем пообщаться со службой поддержки провайдера
13.04.2009, 12:50
PavelA

Попробуй поискать программу SetMTU и поставить в ней размер пакета 576.
24.04.2009, 10:32
pcsoft

Авира опять что-то нашла

C:\WINDOWS\I386\SVCPACK\Logo.exe
[0] Archive type: RAR SFX (self extracting)
--> oemlogo.exe
[DETECTION] Is the TR/Agent.221001.A Trojan
[NOTE] A backup was created as '4a57d913.qua' ( QUARANTINE )
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] A backup was created as '4805767c.qua' ( QUARANTINE )
D:\work\torrent\Превращение Windows c нелицензионной в ''лицензионную копию''\XP-Updater\Activate WinXP SP-2\KeyViewerXP.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
[NOTE] A backup was created as '4a69dccc.qua' ( QUARANTINE )
[NOTE] Attempting to perform action using the ARK lib.
[NOTE] A backup was created as '483c6a4d.qua' ( QUARANTINE )

вот новые логи
24.04.2009, 17:51
pcsoft

[QUOTE=pcsoft;386359]
попробуем пообщаться со службой поддержки провайдера[/QUOTE]

служба поддержки провайдера говорит что у меня какой-то вирус, а что там в логах?
25.04.2009, 17:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\progra~1\fieryads\fieryads.dll - [B]not-a-virus:AdWare.Win32.FearAds.am[/B] ( DrWEB: Adware.FieryAds.7 )[*] c:\windows\system32\crypts.dll - [B]Trojan-Downloader.Win32.Agent.bqpi[/B][*] c:\windows\system32\pxdik.dll - [B]Trojan-Downloader.Win32.Kido.m[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]