вирус

Printable View

01.07.2009, 21:33
andrey--

вирус

постоянно через некоторое время после включения компа сканер ДрВэба отлавливает вирус, убивает его, но при последующем включении все повторяется. Полная проверка ничего не дает. Видимо, вирь хитрО прячется...
01.07.2009, 22:16
gjf

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
[B]- [URL="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление[/URL]!!![/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winmd56');
StopService('vaxscsi');
StopService('msupdate');
StopService('appdrvrem01');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmd56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vaxscsi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\p1c1394.sys','');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS','');
DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmd56.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winmd56');
BC_DeleteSvc('appdrvrem01');
BC_DeleteSvc('msupdate');
ExecuteRepair(1);
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
03.07.2009, 14:11
andrey--

пофиксил, поскриптил...))
не помогло. ДрВэб продолжает ругаться. и еще- после выполнения скриптов в системе появилось новое устройство. какое и откуда оно там взялось- выяснить не могу...
03.07.2009, 14:27
gjf

На кого конкретно и как ругается DrWeb - можете процитировать?
Найдите вот этот файл: C:\WINDOWS\System32\Drivers\vaxscsi.sys заархивируйте в zip-архив и пришлите в карантин по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=49106[/url]

За устройство не беспокойтесь - это мы потом уберём.

И ещё: сделайте логи [URL="http://gjf.hotbox.ru/monk.pif"]вот этой версией AVZ[/URL]. Файл, когда скачаете, просто запустите - не волнуйтесь, нестандартное расширение - это нормально.
03.07.2009, 17:52
andrey--

сделал скриншот...
добавил логи ...
04.07.2009, 00:26
andrey--

скрин ДрВэба
[url]http://webfile.ru/3751414[/url]
[url]http://webfile.ru/3751416[/url]

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

файл "C:\WINDOWS\System32\Drivers\vaxscsi.sys" ненашел... ни в ручную, ни поиском...
04.07.2009, 03:20
gjf

[URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]

Это должно помочь. Скорее всего, у Вас "набор" вирусов был подцеплен из интернета при активном заражении, он находится в кеше браузера. После очистки он исчезнет. Также возможно, что Вы снова и снова подхватываете заразу при посещении заражённых сайтов.

Попробуйте сразу после очистки кеша с отключенным интернетом провести полную проверку системы, а потом включить интернет и поработать. Предупреждения будут снова появляться?
04.07.2009, 13:23
andrey--

чистил сиклинером... восстановление отключено.
зависимости появления предупреждений не нашел. включен инет, не включен или просто включил комп, прошло минут пять- оппа, есть...
правда время до предупреждений разное. бывает раньше, бывает позже.
04.07.2009, 19:08
gjf

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%SystenRoot%\System32\*.*','');
DeleteFile('%SystenRoot%\System32\netevent.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesEventlogSystemip100xp','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
06.07.2009, 20:56
andrey--

сделал...
06.07.2009, 20:59
andrey--

еще...
07.07.2009, 02:08
gjf

Что с проблемой?
07.07.2009, 14:16
andrey--

[QUOTE=gjf;427943]Что с проблемой?[/QUOTE]
к сожалению, ничего не изменилось...
все также появляется предупреждение об удаленном вирусе...
попробую снять жесткий диск и проверить Касперским на другом компе...
07.07.2009, 15:26
gjf

Ну можно было и просто с LiveCD загрузиться...
07.07.2009, 15:37
andrey--

[QUOTE=gjf;428182]Ну можно было и просто с LiveCD загрузиться...[/QUOTE]
ну мы ж не исчем легких путей ;)
да и уметь это надо... а я ж так, юзер :)
07.07.2009, 15:40
gjf

Ничего уметь не надо. Качаете диск, записываете на болванку, вставляете в привод, перегружаетесь...
07.07.2009, 15:58
andrey--

ок, вечером попробую.
да, касперский тоже ничего не нашел...:(
чтож это такое? как так вирус прятаться может?
07.07.2009, 16:40
gjf

Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...
07.07.2009, 18:46
andrey--

[QUOTE=gjf;428232]Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...[/QUOTE]
нее, комп рабочий, карсперский лицензионный, обновления ежедневные...
09.07.2009, 21:48
andrey--

эммм... так как быть-то?
10.07.2009, 04:48
Bratez

[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
Ставьте SP3 и последующие обновления.
10.07.2009, 11:57
gjf

Я у же сказал - попробуйте просканировать свежим CureIt или AVPTool/ Вы то сделали?
11.07.2009, 19:57
andrey--

просканировал. Curelt нашел трояна, убил его, но по-теме ничего не изменилось. все так же выпрыгивает предупреждение от ДрВэба о прибитом вирусе...
да, CureIt свежий, качал с оффсайта...
12.07.2009, 20:07
andrey--

новая беда- вирус winlocк. "ваша ОС заблокирована, пришлите СМС " ну и все такое...
12.07.2009, 20:40
Rene-gad

[QUOTE=andrey--;430778]новая беда- вирус winlocк. "ваша ОС заблокирована, пришлите СМС " [/QUOTE][url]http://virusinfo.info/showthread.php?t=44817[/url]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Java\jre1.6.2\java.exe','');
QuarantineFile('C:\Windows\Help\hlp.exe','');
QuarantineFile('C:\WINDOWS\system32\calc.ifo','');
DeleteFile('C:\WINDOWS\system32\calc.ifo');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
13.07.2009, 00:24
andrey--

скрипты сделал, СМС больше не просят и ДрВэб пока молчит...
карантин выслал, логи сделаю завтра.
а как поступить с "неопознанным устройством"? вроде все работает, из неродных девайсов- только инфракрасная клава/мышь, но в диспетчере устройств с ними все хорошо...
13.07.2009, 11:31
gjf

Выполните скрипт:

[CODE]begin
ExecuteStdScr(6);
RebootWindows(false);
end.[/CODE]

Система должна перегрузится, устройство исчезнет.
16.07.2009, 20:18
andrey--

в общем, воз и ныне там(((
все, как и раньше. дрВэб ругается...
18.07.2009, 17:55
AndreyKa

В логах чисто.
18.07.2009, 19:01
gjf

[B]В обязательном порядке установите Сервис Пак 3[/B] - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние [URL="http://update.microsoft.com"]обновления системы Windows[/URL] и используемых программ.
18.07.2009, 23:50
andrey--

ок, установлю.
20.07.2009, 19:41
andrey--

[QUOTE=gjf;431022]Выполните скрипт:

[CODE]begin
ExecuteStdScr(6);
RebootWindows(false);
end.[/CODE]

Система должна перегрузится, устройство исчезнет.[/QUOTE]

система перегрузилась, устройство не исчезло... :O
и кстати... давайте я карантин ДрВэба пришлю? так как тема хоть и помечена как "вылечено", но с чего антивирь нервничает?
и при запуска исследования в AVZ в строке "драйверы" пишет обнаружено-90, опознано как безопасные- 89,в строке "автозапуск"- обнаружено 66, опознано как безопасные- 65...
20.07.2009, 22:32
gjf

Вы SP3 установили уже?
21.07.2009, 16:38
andrey--

[QUOTE=gjf;434859]Вы SP3 установили уже?[/QUOTE]
нет, но это как-то это поможет ДрВэбу?
21.07.2009, 17:21
gjf

А Вы посмотрите, сколько уязвимостей устраняет это обновление, и сами подумайте.
21.07.2009, 17:23
Bratez

[QUOTE=andrey--;434784]система перегрузилась, устройство не исчезло... [/QUOTE]
Просто удалите его в Диспетчере устройств.
21.07.2009, 17:37
andrey--

[QUOTE=gjf;435286]А Вы посмотрите, сколько уязвимостей устраняет это обновление, и сами подумайте.[/QUOTE]
ок, намек понял))

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

[QUOTE=Bratez;435290]Просто удалите его в Диспетчере устройств.[/QUOTE]
хм... об этом я что-то не подумал!
22.07.2009, 17:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\java\jre1.6.2\java.exe - [B]Trojan.Win32.Qhost.lsk[/B][*] c:\windows\help\hlp.exe - [B]Trojan-Ransom.Win32.SMSer.fh[/B][*] c:\windows\system32\calc.ifo - [B]Trojan-Downloader.Win32.Small.alox[/B][/LIST][/LIST]