Проверте пожалуйста логи

Printable View

25.06.2009, 15:30
lordenas

Проверте пожалуйста логи

Здравствуйте, сегодня переустановил систему. очень долго стали открываться страницы через некоторое время вообще не активны даже не обновляются.Нод32 вот, что пишет...
Файл С:\DOCUNE~1\Temp\BN4C.tmp
Вирус модифицированный Win32/Wifon.KT троян Событие произошло в файле модифицированном приложением. C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.

И так еще 3-4 раза вылазит и не чего с ними сделать нельзя
25.06.2009, 15:41
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\vmnat.exe','');
QuarantineFile('c:\documents and settings\lord^\lord^.exe','');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=48690[/URL]

3. Повторите логи.
25.06.2009, 16:16
lordenas

Нод 32 всё равно ругается на вирусы
25.06.2009, 17:01
Rene-gad

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Пролечитесь от файловых вирусов: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Потом повторите логи.

C:\WINDOWS\Explorer.EXE - пришлите по правилам (Приложение 3)
25.06.2009, 21:17
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\vmnat.exe');
TerminateProcessByName('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\documents and settings\lord^\lord^.exe');
DeleteFile('c:\windows\vmnat.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
26.06.2009, 14:33
lordenas

Скрипт вроде бы помог Из за вируса не мог передавать не каких файлов... Но вот на диске C создаться постоянно файл loc
26.06.2009, 15:10
PavelA

Свежие, но уже удаленные:
lord^.exe_ Trojan-Downloader.Win32.Agent.cgox

vmnat.exe_ Backdoor.Win32.SdBot.nhv

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

C:\WINDOWS\system\mrsvss.exe - пришлите вот этот файлик на проверку через каранин AVZ.
26.06.2009, 15:34
lordenas

Карантин выслал... Скажите а при помощи vmnat.exe_ Backdoor.Win32.SdBot.nhv могла бы быть кража паролей?
26.06.2009, 15:49
PavelA

Вот еще один нашелся:
mrsvss.exe - Backdoor.Win32.SdBot.nhv
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('MRSVSS Service');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Лог прислать.
26.06.2009, 15:57
lordenas

Вот...
26.06.2009, 16:00
PavelA

'C:\pac.exe' - это что знаете?
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\pac.exe','');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
DeleteFile('vmnat.exe');
DeleteFile('c:\windows\system\mrsvss.exe');
BC_DeleteFile('c:\windows\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить станд. скрипт №2. Лог прислать.
Карантин загрузить.
26.06.2009, 16:15
lordenas

Вирус по мойму... раньше этого не было сам восстанавливаться после удаления..
26.06.2009, 16:33
gjf

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('MRSVSS Service');
QuarantineFile('c:\windows\wmslives.exe','');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('c:\windows\wmslives.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MRSVSS Service');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
26.06.2009, 17:11
lordenas

вот...
26.06.2009, 17:22
Rene-gad

[QUOTE=lordenas;422795]сегодня переустановил систему[/QUOTE]При переустановке системы нужно в оффлайне установить последний Сервис Пак, потом идти в сеть...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe','');
QuarantineFile('C:\WINDOWS\system32\23.scr','');
QuarantineFile('C:\WINDOWS\tstray.exe','');
QuarantineFile('WMSLives.exe','');
DeleteFile('WMSLives.exe');
DeleteFile('C:\WINDOWS\tstray.exe');
DeleteFile('C:\WINDOWS\system32\23.scr');
DeleteFile('C:\Documents and Settings\Lord^\Local Settings\Temporary Internet Files\Content.IE5\W96N4XQJ\m[1].exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
26.06.2009, 17:42
lordenas

Фаерфол у меня никогда не включен т.к vpn соединение если его включить не будет работать интернет

опять появилось в моём компьютере "Веб-папки"
26.06.2009, 18:13
gjf

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

В остальном чисто. Жалобы есть?
26.06.2009, 18:14
lordenas

Вроде всё нормально. Всем большое спасибо за помощ!))
26.06.2009, 18:21
gjf

Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.

В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com]обновления системы Windows[/URL] и используемых программ.
27.06.2009, 11:31
lordenas

Извините, что создал новую тему. Сразу не догадался... НА диске С вирус pac. Качает файлы в папку temp в ней нод палит только 1... Ест очень много трафика вот логи проверте пожалуйста
27.06.2009, 11:35
Aleksandra

Если это другая машина, то создавайте новую тему.
27.06.2009, 11:39
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wmslives.exe');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
TerminateProcessByName('c:\documents and settings\localservice\localservice.exe');
TerminateProcessByName('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe');
StopService('MRSVSS Service');
QuarantineFile('c:\windows\wmslives.exe','');
QuarantineFile('C:\WINDOWS\system\mrsvss.exe','');
QuarantineFile('c:\documents and settings\localservice\localservice.exe','');
QuarantineFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe','');
DeleteService('MRSVSS Service');
DeleteFile('c:\windows\wmslives.exe');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
DeleteFile('c:\documents and settings\localservice\localservice.exe');
DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\RarSFX3\c6y85.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MRSVSS Service');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
[QUOTE=Aleksandra;423585]Если это другая машина, то создавайте новую тему.[/QUOTE]Это та же машина 8)
27.06.2009, 11:44
lordenas

При запуске копьютера пишет dos-... ( не помню что тут ) создают файл load 2.
27.06.2009, 11:49
Rene-gad

[QUOTE=lordenas;423590]При запуске копьютера пишет .[/QUOTE]Кто пишет? Вы загрузиться можете? Если да - выполняйте скрипт. Если нет - попробуйте загрузиться в безопасном и выполнить скрипт оттуда.
27.06.2009, 12:06
lordenas

нет появляться командная строка и писало, что неверный файл, что то вроде этого, ip из букв, и выбор пропустить или отменить, я нажал отменить. Скрипт выполняется нормально. И в моём компьютере появился раздел Веб папки. И мозила запускается в безопасном режиме это нормально?
27.06.2009, 12:17
Rene-gad

[QUOTE=lordenas;423597]нет появляться командная строка и писало, что неверный файл, что то вроде этого, ip из букв, и выбор пропустить или отменить, я нажал отменить.[/QUOTE]Скопируйте или сделайте скриншот этого загадочного сообщения.
[QUOTE]в моём компьютере появился раздел Веб папки. [/QUOTE]
[url]http://support.microsoft.com/?scid=kb%3Ben-us%3B195851&x=16&y=13[/url]
[QUOTE]И мозила запускается в безопасном режиме это нормально?[/QUOTE]А почему Модзилла не должна запускаться в безопасном режиме?
Выполните скрипт
[CODE]
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Messenger Systems');
RebootWindows(true);
end.[/CODE]
После перезагрузки логи начиная от п.2 диагностики повторите
27.06.2009, 15:41
lordenas

Больше это сообщение не появлялось... Скажите если я не сохраняю пароли для сайтов в браузере их могли вытащить?testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest аааа это только что написал вирус честно писал сообщение и начал ктото писать этоэто через доступ веб папки новерно :)))
27.06.2009, 15:47
Rene-gad

[QUOTE=lordenas;423679]
testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest аааа это только что написал вирус )[/QUOTE]Для кого пишем?[QUOTE]Закройте/выгрузите все программы кроме AVZ и Internet Explorer.[/QUOTE]
Если у Вас остался Ворд или др. текстовый редактор открытым, то АВЗ генерирует в нем такие строчки.

Какие еще проблемы?
27.06.2009, 15:50
lordenas

ну я откуда знал)) я испугался)) Извиняюсь... мне повторить логи? Проблем больше не каких спб
27.06.2009, 15:54
Rene-gad

[QUOTE=lordenas;423682]ну я откуда знал)) [/QUOTE]Так написали же и в правилах, и лично: [COLOR="Red"][SIZE="4"]Закройте/выгрузите все программы кроме AVZ и Internet Explorer. [/SIZE][/COLOR]Неужели еще вопросы возникают? :O
27.06.2009, 15:57
lordenas

Нет... Не возникают) А что за доступ веб папки объясните пожалуйста?
27.06.2009, 15:58
Rene-gad

[QUOTE=lordenas;423684]А что за доступ веб папки объясните пожалуйста?[/QUOTE]Ссылка в сообщении #26 :)
28.06.2009, 15:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]51[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\localservice\localservice.exe - [B]Trojan-Downloader.Win32.Agent.cgox[/B] ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )[*] c:\documents and settings\lord^\local settings\temporary internet files\content.ie5\w96n4xqj\m[1].exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\documents and settings\lord^\lord^.exe - [B]Trojan-Downloader.Win32.Agent.cgox[/B] ( DrWEB: Trojan.DownLoad.38937, BitDefender: Trojan.Generic.2135735 )[*] c:\pac.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[*] c:\windows\system\mrsvss.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[*] c:\windows\system\mrsvss.exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\system32\23.scr - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\tstray.exe - [B]Backdoor.Win32.SdBot.nhv[/B] ( DrWEB: Trojan.Inject.5856 )[*] c:\windows\vmnat.exe - [B]Backdoor.Win32.SdBot.nhv[/B][*] c:\windows\wmslives.exe - [B]Backdoor.Win32.IRCBot.kzi[/B] ( DrWEB: Trojan.Inject.5857 )[/LIST][/LIST]