Помогите!

Printable View

11.07.2009, 17:03
son

Вложений: 3

Помогите!

Здравствуйте.
Некоторое время борюсь с троянами и
им подобными вирусами,но похоже без
вашей помощи не обойтись.
11.07.2009, 17:19
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Serj\Рабочий стол\9A92C3409859ABB8\9A92C3409859ABB8','');
DeleteFile('C:\Documents and Settings\Serj\Рабочий стол\9A92C3409859ABB8\9A92C3409859ABB8');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('securentm');
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('i386si');
BC_DeleteSvc('fips32cup');
BC_DeleteSvc('ati64si');
BC_DeleteSvc('amd64si');
BC_DeleteSvc('acpi32');
BC_DeleteSvc('9A92C3409859ABB8');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49782[/url]).
Сделайте новые логи.
Дополнительно такой лог: [url]http://virusinfo.info/showthread.php?t=40118[/url].
11.07.2009, 19:49
son

Вложений: 1

Файл сохранён как 090711_174758_virus_4a58980edd3b0.zip
Размер файла 665
MD5 ef92a4e958e671c9f40a0c30a4c4be25
11.07.2009, 20:34
V_Bond

логи авз повторите ...
11.07.2009, 21:35
son

Вложений: 2

Повторил.
11.07.2009, 21:51
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\hmonitor.sys','');
QuarantineFile('C:\Temp\meaottkq.sys','');
BC_QrSvc('9A92C3409859ABB8');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
11.07.2009, 22:15
son

Файл сохранён как 090711_221434_virus_4a58d68a8818c.zip
Размер файла 7511
MD5 e354f74aed637a36aee522319654d623
11.07.2009, 23:16
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');
DeleteFile('C:\Temp\meaottkq.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
12.07.2009, 00:28
son

Вложений: 2

Повторяю.
13.07.2009, 10:14
son

Хоть ответа пока нет,насколько я вижу,как минимум
LightLogger - Keyloggers все еще сидит в системе.
13.07.2009, 11:42
V_Bond

выполните скрипт
[code]
begin
BC_DeleteSvc('9A92C3409859ABB8');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
13.07.2009, 13:40
son

Вложений: 2

Повторяю.
13.07.2009, 13:57
thyrex

C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url] Ссылку на результат проверки сообщите

Сделать лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
13.07.2009, 16:03
son

Вложений: 1

Похоже нашли его.
адрес проверки:
[url]http://www.virustotal.com/ru/analisis/ca301c5b9108c8cd83265f4e12950c6ed35582bf29a8cf7768d6a394b5525d29-1247479651[/url]
13.07.2009, 16:15
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe','');
DeleteFile('C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[code]gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\9A92C3409859ABB8"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\9A92C3409859ABB8"
gmer.exe -reboot[/code]И запустите cleanup.bat
Компьютер перезагрузится

Сделайте новые логи + новый лог gmer
13.07.2009, 17:16
son

Карантин прислал:
Файл сохранён как 090713_170200_virus_4a5b3048d9b23.zip
Размер файла 14271
MD5 e88c5a383c78f0e61b6affdacc89391c

Сохранил текст как cleanup.bat в папке gmer.exe,но...
наверно я торможу ,как запустить текстовой cleanup.bat
13.07.2009, 17:27
thyrex

У вас, наверное, получился файл вида cleanup.bat.txt
[B]Пуск - Панель управления - Свойства папки - Вид[/B] - убрать метку с пункта [B]Скрывать расширения для зарегистрированных типов файлов - Применить - ОК[/B]
13.07.2009, 17:33
son

Нет.
Я создал текстовой документ дал название cleanup.bat
После того как убрал метку он стал cleanup.bat.txt
Похоже я что-то не понял.?
Для запуска надо вставить в командную строку?
13.07.2009, 17:47
thyrex

Можно сделать так. Когда в Блокноте выбираете [B]Сохранить как[/B] в окне [B]Тип файла[/B] выберите [B]Все файлы (*.*)[/B] и в строке [B]Имя файла[/B] напишите cleanup.bat
Должно сохраниться как нужно.
Файл можно запускать из командной строки
13.07.2009, 17:57
son

Спасибо.
Теперь все как надо.
Пошел готовить логи.
13.07.2009, 20:21
son

Вложений: 3

Повторяю логи
13.07.2009, 21:14
thyrex

В логах ничего подозрительного. Что с проблемой?
13.07.2009, 22:54
son

Проверил еще систему,например Spybot находит
LightLogger - Keyloggers,но как и раньше удалить не может.
C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe
похоже куда-то переместилась или еще что...
по крайне мере при загрузке системы так же автоматически открывается
папка Adobe .
13.07.2009, 23:03
thyrex

Лог HiJack сделайте
13.07.2009, 23:38
son

Вложений: 1

Сделал
13.07.2009, 23:53
thyrex

Пофиксить в HiJack
[code] O4 - HKLM\..\Run: [2] C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe [/code]

Выполните скрипт в AVZ
[CODE]begin
DeleteFile('C:\Program Files\Adobe Systems,inc\AVI Flash Codec\Codec_update.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

Сделать новый лог [B]virusinfo_syscheck[/B] и лог [B]HiJack[/B]
13.07.2009, 23:54
son

Эх..создавая последнии логи авз,забыл отключить восстановление системы.
Извените.
Надо повторять действия - #15?
14.07.2009, 00:02
thyrex

Выполнить только то, что в сообщении №26
Отключить восстановление и сделать запрошенные логи
14.07.2009, 00:28
son

Вложений: 2

Сделал
14.07.2009, 00:59
thyrex

Что теперь с проблемой?
14.07.2009, 16:41
son

При загрузке системы,папка Adobe перестала автоматически открываться.
LightLogger находит только Spybot
Простой поиск в системе находит LightLogger в заархивированном виде
в системе Spybot,но в ручную его там не нашел.Похоже он где-то в памяти Spybot остался или еще что.Перегружал как он и просил,но он его всеравно находит и не может очистить.

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 15 минут[/I][/B][/color][/size]

LightLogger - вроде активную деятельность приостановил,но меня беспокоит,что некоторые проги его еще видят (Spybot) возможно я слишком перестраховываюсь,но как удалить его из памяти ...
вдруг он только на время затих.
Возможно я что-то не так понимаю,но ведь его видно не должно быть?
28.07.2009, 16:07
son

Пришлось всетаки переустановить систему.(WinXP)
Но похоже и на установочном свои exe
Например:
WINDOWS\I386\WAB.EX - вероятно модифицированный Win32/spy.agent
WINDOWS\I386\SVCPACK\CDClose.exe
WINDOWS\I386\SVCPACK\Oem.exe

Проверял ESET Smart Security 4

Подскажите,этот так и должно быть?
28.07.2009, 20:59
pig

Это у Зверя спрашивайте. Насколько я знаю, штатно в Windows никаких CDClose нет.
28.07.2009, 21:14
Rene-gad

[QUOTE=pig;439210]штатно в Windows никаких CDClose нет.[/QUOTE]И SVCPACK тоже нет... :whistle3:
29.07.2009, 21:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\adobe systems,inc\avi flash codec\codec_update.exe - [B]Trojan.Win32.VB.oxq[/B] ( BitDefender: Gen:Trojan.Heur.VB.1020DF9F9F )[/LIST][/LIST]