Перехватчики и др. проблемы.

Printable View

30.07.2009, 15:18
Alius

Вложений: 3

Перехватчики и др. проблемы.

Помогите ликвидировать последствия заражения. Отсутствует доступ к внутрисетевым ресурсам. Крайне медленно работает система.
30.07.2009, 15:41
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscheck.zip
hijackthis.log [/b]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
31.07.2009, 10:02
Alius

Вложений: 3

Приклепляю новые логи.
31.07.2009, 11:21
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MSCFG32.EXE','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
QuarantineFile('C:\WINDOWS\system32\mscfg32.dll','');
QuarantineFile('C:\WINDOWS\system32\unilay.dll','');
QuarantineFile('C:\WINDOWS\system32\khlp807w.dll','');
QuarantineFile('C:\WINDOWS\system32\khlp733w.dll','');
QuarantineFile('C:\WINDOWS\system32\mscoreep.dll','');
QuarantineFile('C:\WINDOWS\system32\cmib456w.dll','');
QuarantineFile('C:\WINDOWS\system32\khlp866w.dll','');
QuarantineFile('C:\WINDOWS\system32\khlp760w.dll','');
QuarantineFile('C:\WINDOWS\system32\winproc.exe','');
DeleteFile('C:\WINDOWS\system32\unilay.dll');
DeleteFile('C:\WINDOWS\system32\khlp807w.dll');
DeleteFile('C:\WINDOWS\system32\khlp733w.dll');
DeleteFile('C:\WINDOWS\system32\mscoreep.dll');
DeleteFile('C:\WINDOWS\system32\cmib456w.dll');
DeleteFile('C:\WINDOWS\system32\khlp866w.dll');
DeleteFile('C:\WINDOWS\system32\khlp760w.dll');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('MSNDSRV');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
31.07.2009, 11:44
Alius

Файл сохранён как 090731_114228_virus_4a72a064e8d90.zip
Размер файла 515522
MD5 f68c635311b454288b50ef3d639b23ee

Прислал запрошенный карантин.
Проблемы пока не исправлены, на сколько я понял.
31.07.2009, 11:45
Rene-gad

[QUOTE=Alius;440786]Проблемы пока не исправлены, на сколько я понял.[/QUOTE]
- Выполните предыдущий скрипт [B]ещё раз[/B] :)
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
31.07.2009, 12:17
Alius

Вложений: 3

Высылаю новые логи!
31.07.2009, 12:26
Rene-gad

C:\Program Files\Internet Explorer\iexplore.exe запакуйте файл прямо в архив iexplorer.zip и с паролем virus закачайте по правилам : [url]http://virusinfo.info/upload_virus.php?tid=51014[/url]
31.07.2009, 12:38
Alius

Результат загрузкиФайл сохранён как 090731_123748_iexplore_4a72ad5c3aa07.zip
Размер файла 41604
MD5 0ad4bbf5a6b029f98b22c8c58c125a63

Файл закачан!
31.07.2009, 12:42
Rene-gad

Ничего враждебного пока не найдено. А что с проблемой?
31.07.2009, 12:48
Alius

Продолжаеться зависание при попытке доступа к сетевым ресурсам. Зависает internet explorer при попытке зайти в свойства обозревателя->подключения. :cray:
31.07.2009, 15:05
Rene-gad

Есть новости из Вирлаба: [QUOTE]C:\WINDOWS\system32\khlp733w.dll - новый зловред Backdoor.Win32.Laserv.c[/QUOTE]
Поздравляю с новым зверем :)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('MSNDSRV');
DeleteFile('C:\WINDOWS\system32\cmib456w.dll');
DeleteFile('C:\WINDOWS\system32\khlp733w.dll');
DeleteFile('C:\WINDOWS\system32\khlp760w.dll');
DeleteFile('C:\WINDOWS\system32\khlp807w.dll');
DeleteFile('C:\WINDOWS\system32\khlp866w.dll');
DeleteFile('C:\WINDOWS\system32\mscfg32.dll');
DeleteFile('C:\WINDOWS\system32\MSCFG32.EXE');
DeleteFile('C:\WINDOWS\system32\mscoreep.dll');
DeleteFile('C:\WINDOWS\system32\unilay.dll');
DeleteFile('C:\WINDOWS\system32\winproc.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\MSNDSRV.sys');
DeleteService('MSNDSRV');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MSNDSRV');
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Установите IE 8
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
31.07.2009, 18:06
Alius

Вложений: 3

Повторные логи!

P.S.: Перед окном входа в систему (где запрашиваеться логин и пароль), после нажатия ctrl+alt+del появляеться пустое окно, в шапке написано *****rsh.exe (****-квадратики) иногда ***unlodcdr.exe или что-то вроде этого... Вроде ни на что не влияет.

Остальные проблемы так и остались( :(
31.07.2009, 18:16
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('aswArKrn');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aswArKrn.sys','');
DeleteService('aswArKrn');
DeleteFieMask('%temp%','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('aswArKrn');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
03.08.2009, 11:44
Alius

Вложений: 4

К сожалению эффекта нет (
03.08.2009, 12:22
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\TEMP\Clt-Inst\vpremote.exe','');
SetAVZPMStatus(True);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте повторные логи
[b]virusinfo_syscheck.zip
hijackthis.log [/b]
03.08.2009, 13:26
Alius

Вложений: 2

В карантине пусто (( нечего отправлять
03.08.2009, 13:28
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файл:
[CODE]C:\TEMP\Clt-Inst\vpremote.exe
[/CODE]
Скопированный с помощью IceSword файлы сохраните на диске, напр. в корневом катологе, и пришлите по правилам.
03.08.2009, 14:21
Alius

IceSword файл не находит
03.08.2009, 14:51
Rene-gad

GMERом поищите (после запуска разверните закладки стрелкой >>>>, закладка Files). Если найдёте - замаркируйте файл и кнопкой COPY скопируйте его куда-нибудь.
03.08.2009, 17:36
Alius

Файла нет
03.08.2009, 18:46
Rene-gad

- Сделайте логи
[b]virusinfo_syscheck.zip
hijackthis.log [/b]
04.08.2009, 09:23
Alius

Вложений: 2

Логи

есть идеи?
04.08.2009, 10:53
Rene-gad

[QUOTE=Alius;442443]Логи[/QUOTE]Откройте лог virusinfo_syscheck.html и посмотрите главу Службы- файл C:\TEMP\Clt-Inst\vpremote.exe присутствует.

[COLOR="Red"]Сделайте такой лог[/COLOR]: [url]http://download.cnet.com/3001-8022_4-10804572.html?spi=422e0bb33a2cf5e7f485b7ca3b73c2f8&part=dl-10804572[/url]
04.08.2009, 12:56
Alius

Вложений: 2

В virusinfo_syscheck.html присутствовало только название службы, которая должна была загружаться, но не загружалась из-за отсутствия файла vpremote. Реестр весь вычистил от vpremote, служба пропала. Логи прилагаю.

Проблемы сохранились:
1. При загрузке, после ctrl+alt+del опять появляется странное окно с иероглифами.
2. После входа сетевое подключение дает ошибку "соединение ограничено", после обновления соединения проходит.
3. Доступ к сетевым ресурсам, очень медленный.
4. иса-клиент не обнаруживает иса-сервер и соответственно инета так и нет.

Malwarebytes сейчас работает...
04.08.2009, 13:11
Alius

MALWAREBYTES ничего не нашел
04.08.2009, 13:17
Rene-gad

[QUOTE=Alius;442574]MALWAREBYTES ничего не нашел[/QUOTE]Лог в студию, плиз :)
04.08.2009, 13:20
Alius

Вложений: 1

Пожалуйста ...:?
04.08.2009, 13:21
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
04.08.2009, 13:37
Alius

[QUOTE=Alius;442566]

1. При загрузке, после ctrl+alt+del опять появляется странное окно с иероглифами.
2. После входа сетевое подключение дает ошибку "соединение ограничено", после обновления соединения проходит.
3. Доступ к сетевым ресурсам, очень медленный.
4. иса-клиент не обнаруживает иса-сервер и соответственно инета так и нет.

[/QUOTE]
Проблема 1 - решена, остальное как и было
04.08.2009, 13:44
Rene-gad

В логах ничего зловредного не видно, ergo:
- либо зловреды хорошо маскируются
- либо они успели так нагадить, что нарушили конфигурацию системы.
В первом случае поможет только переустановка системы.
Во втором случае может помочь вмешательство специалиста, имеющего прямой доступ к компьютеру.
Мы со своей стороны можем ещё порекомендовать комаду [CODE]sfc /scannow[/CODE] описание тут: [url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=10&y=6[/url]
05.08.2009, 13:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\khlp733w.dll - [B]Backdoor.Win32.Laserv.c[/B][/LIST][/LIST]