Printable View
Проявилось заражение при попытке запустить Nero. Программа не запускалась. Попытка скачать с сайта свежую версию AVZ блокировалась. Блокируется обновление баз Dr.Web v 5.0 . Запустить AVZ в безопасном режиме не удается. Все что удалось это запустить в безопасном режиме AVPTool и в обычном режиме HijackThis
[QUOTE]Все что удалось это запустить в безопасном режиме AVPTool[/QUOTE]Открывайте вкладку "Ручное лечение", соберите информацию о системе и прикрепите файл avptool_syscheck.zip к новому сообщению + сделайте лог GMER (ссылка у меня в подписи)
лог GMER выполнить в обычном режиме не удается. Программа запускается и
y7lf7ik.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства
Скачайте [url=http://downloads.andymanchesta.com/RemovalTools/SDFix.exe]SDFix[/url], [B]загрузитесь в безопасном режиме[/B], запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из [B]C:\Report.txt[/B] и вставьте в следующее сообщение или запакуйте файл [B]C:\Report.txt[/B] и прикрепите к сообщению
Описание SDFix есть [url=http://www.saule-spb.ru/library/sdfix.html]здесь[/url]
+snifer67
В логе ничего плохого не видно
[QUOTE]лог GMER выполнить в обычном режиме не удается[/QUOTE]Попробуйте сделать в безопасном
Полную проверку AVPTool выполняли? Результаты есть?
Попробуйте запустить [url=http://ifolder.ru/13623748]этот[/url] AVZ в нормальном режиме
GMER в безопасном режиме тоже запускается на пару секунд и y7lf7ik.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Пробовал переименовать и запустить - результат нулевой.
Новый вариант AVZ - 2 попытки запустить результат
Внутренняя ошибка на сервере. Код ошибки: 20091114912140a85321ce0a6d598d6e
и
Внутренняя ошибка на сервере. Код ошибки: 20091114d6dba3338b8b514c3e3a8ebb
Полную проверку AVPTool выполнял, результат был но к сожалению после окончания проверки выходит меню и после того как я нажал Да - он деинсталировался. Были заражены pdf-ки и частично запомнил файл **shebok.old
Возможно имеем в наличии только последствия, но блокирование продолжается.
попробуйте [url]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/url]
[QUOTE=snifer67;508835]Скачайте [URL="http://downloads.andymanchesta.com/RemovalTools/SDFix.exe"]SDFix[/URL], [B]загрузитесь в безопасном режиме[/B], запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из [B]C:\Report.txt[/B] и вставьте в следующее сообщение или запакуйте файл [B]C:\Report.txt[/B] и прикрепите к сообщению
Описание SDFix есть [URL="http://www.saule-spb.ru/library/sdfix.html"]здесь[/URL][/QUOTE]
Сделал. Файл прикрепил
Изменения последовали? Вы можете запустить утилиты?
[QUOTE=Alex_Goodwin;508870]попробуйте [URL]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/URL][/QUOTE]
Пытаюсь зайти в одну из тем. Новое окно открывается но страница та же. Не дает перехода, все время сижу на прежней странице.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=Venus Doom;508882]Изменения последовали? Вы можете запустить утилиты?[/QUOTE]
В обычном режиме запускать утилиты не получается. Попробую в безопасном.
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
В безопасном режиме AVZ и GMER не запускаются. Однократно появилось окно сообщений с "крокозяблями" в тексте и кнопкой ОК. Нажал ОК. Повторно при загрузке окно не появляется.
Хорошо.
Утилита, которую советовал [B]Alex_Goodwin[/B] находится во вложении ниже, при необходимости переименуйте ее
Утилиту запускал в общем счете 4 раза. Каждый раз фиксит одинаковое количество - в безопасном 7-56 в обычном 26-208. Повторный запуск утилиты показывает что все чисто. После окончания работы утилиты пробовал запустить AVZ и GMER - не запускаются.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Есть изменения !! Запустился переименованный AVZ но кодировка сбита полностью. Не могу запустить скрипты. Не могли бы выложить картинки или сказать как по счету выбрать нужные меню
Полученные скрипты
Пофиксить в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - S-1-5-18 Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: is-OHMBE.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe (User 'Default user')
O4 - .DEFAULT Startup: is-OHMBE.lnk = ? (User 'Default user')
O4 - Startup: is-FD41G.lnk = C:\Virus Removal Tool\is-FD41G\startup.exe
O4 - Startup: is-OHMBE.lnk = ?[/CODE]Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
Проверьтесь [url]http://www.secureblog.info/articles/597.html[/url]
Согласно списка - пофиксил. ComboFixs выполнил - лог прилагается. Утилитой проверил - все чисто. GMER в обычном режиме запускается но вываливается в прежнюю ошибку.
Текущие логи по правилам.
Пофиксить в HiJack
[CODE]O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
O3 - Toolbar: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)[/CODE]
C:\WINDOWS\System32\userinit.exe пришлите согласно [B]Приложения 2[/B] правил
[QUOTE='Kalashnikov;509013']Утилитой проверил - все чисто[/QUOTE]Эта утилита?
[QUOTE='thyrex;508983'] [url]http://www.secureblog.info/articles/597.html[/url][/QUOTE]
Если да, тогда c:\windows\System32\DRIVERS\ATAPI.SYS замените на чистый [B]с дистрибутива[/B] [url]http://virusinfo.info/showthread.php?t=51654[/url]
[QUOTE='Kalashnikov;509013']GMER в обычном режиме запускается но вываливается в прежнюю ошибку.[/QUOTE]DrWeb, Outpost отключали? Если нет, отключите перед созданием лога. Дополнительно снимите метку с Devices
Пофиксил. Перезагрузил.
virus.zip - отправил
atapi.sys заменил из чистого дистрибутива
GMER запускается работает пару секунд и вываливается в ошибку. Оутпост выгружен и Dr.Web отключен.
Лог ComboFix еще раз сделайте
Сделано.
[QUOTE='Kalashnikov;509389']atapi.sys заменил из чистого дистрибутива[/QUOTE]И в нем по-прежнему зараза
Попробуйте запустить утилиту ([url]http://www.secureblog.info/articles/597.html[/url]) со следующими ключами: "TDSSKiller.exe -l C:\log.txt -v -o C:\dump.dmp"
Созданные файлы log.txt и dump.dmp приложите к посту.
Сделано.
Сделано. Файл с расширением dmp не прикрепляется запаковал его в zip. atapi.sy_ брал с диска SP3 а не с зараженного компьютера.
У Вас сложный случай, требующий проверки нескольких моментов. Поэтому вооружитесь терпением и выполните следующие действия. Делать по пунктам. В самом начале - отключить интернет и все антивирусы/файерволы, и не включать, пока это не будет разрешено!
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('%WinDir%\*.tmp', 'Возможно Kates');
QuarantineFile('c:\windows\System32\DRIVERS\ATAPI.SYS', 'Возможно TDL3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
2. Скачайте [URL="http://www.esagelab.com/files/bootkit_remover.rar"]вот эту утилиту[/URL]. Распакуйте её в отдельную папку. Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
[CODE]start /wait remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0[/CODE]
Запустите cleanup.bat. Запускать с правами администратора.
По окончании в папке появится файл mbr.bin. Скопируйте его в папку AVZ/Quarantine. Перезагрузите систему.
3. Скачайте [URL="http://www.secureblog.info/files/TDSSKiller.rar"]вот эту утилиту[/URL] и распакуйте в отдельную папку. Сохраните текст ниже как start.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: start.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
[CODE]
start /wait TDSSKiller.exe -o C:\dump.dmp
TDSSKiller.exe -l C:\log.txt -v[/CODE]
Запустите start.bat. Запускать с правами администратора.
Перезагрузите систему.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
- Подключите ПК к интернету/локальной сети
- Заархивируйте папку AVZ/Quarantine в zip-архив с паролем 'infected' (без кавычек) и пришлите по красной ссылке вверху темы "Прислать карантин".
- Прикрепите файлы C:\dump.dmp и C:\log.txt к новому сообщению в этой ветке.
Все пункты выполнил. После выполнения 2 пункта и перезагрузки система обнаружила новое устройство. Не успел посмотреть что же это было. Файлы созданный TDSKiller упакованы в архив без пароля.
Файлы созданные bootkit_remover упакованы в архив Quarantine с паролем infected
[color=red]По красной ссылке пришлите![/color]
Хорошо, а где карантин самого AVZ? Пришлите его согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
Тысячу извинений. Отправил по ссылке красной 2 архива. virus с паролем virus и Quarantine с infected
После беседы с "подрастающим поколением" складывается мнение что этот вирус связан с сайтом одноклассники. Пришло письмо что есть сообщение, зашли на сайт но новое сообщение не открывалось, а по краю окна моргала надпись ****** сообщение. Что то такое.
Спасибо. Подождём ответ аналитиков.
Спасибо за терпение и участие в проблеме. Будем ждать.:)
Дополнительно. Впервые за все время лечения сейчас Оутпост поймал таких зверей
Имя: BZub
Тип: Trojan
Описание:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Ключи реестра:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control Panel\load
и
Имя: BiFrost
Тип: Backdoor
Описание:
Gives someone else access to your computer by bypassing the normal authentication procedures.
Ключи реестра:
HKEY_USERS\S-1-5-21-484763869-1606980848-839522115-1003\software\Wget
Вы вначале логи AVPTool приводили. А вообще сканирование с помощью [U]свежей[/U] AVPTool выполняли?
Да сканировал. Сегодня проверил снова, остался старый карантин и новый звереныш.
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\Qoobox\Quarantine\C\WINDOWS\xbshebo.old.vir
и
обнаружено: троянская программа Trojan-PSW.Win32.Kates.t Файл: C:\System Volume Information\_restore{AB6DC5CD-F8C7-46B0-9AB4-807E9D469D95}\RP1\A0000044.OLD
Это не новый зверёныш, это - копия в точках восстановления. Нестрашно, раз Вы отключили восстановление системы.
AVZ по-прежнему не запускается? Если нет, попробуйте [URL="http://gjf.hotbox.ru/monk.pif"]полиморфный AVZ[/URL] md5: 2091925798b7909e010e3f7e328c5f0d
AVZ запускается нормально, причем не переименнованный. GMER не запускается. Вчера после выполнения всего указанного в сообщении 24 он не запускался но выходили что не открывается какой то файл, то сегодня как и прежде начинает работать и затем вываливается в ошибку.
Делайте полный комплект логов AVZ по правилам.
Выполнил. Что заметил. Отключал через AVZ автозапуск со всех носителей. При нынешней проверке снова показывает что автозапуск разрешен.
Давайте вот как попробуем.
1. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE] O2 - BHO: Pick-a-Proxy Toolbar - {A6790AA5-1213-4567-A46D-0FDAC4EA90EB} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]procedure ScanKates(Name: String);
var Str: String;
Info: String;
begin
if RegKeyParamExists('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name)
then
begin
Str:= RegKeyStrParamRead('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32', Name);
Info:= 'Найден параметр ' + Name + ', связанный с ' + Str;
AddToLog(Info);
if Pos(' ', Str)<>0 then Str:= Copy(Str, 1, Pos(' ', Str)-1);
QuarantineFile(Str,'Kates');
DeleteFile(Str);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32',Name);
end;
end;
procedure KillKates;
var i: integer;
begin
ScanKates('aux');
for i := 0 to 99 do ScanKates('aux'+IntToStr(i));
ScanKates('midi');
for i := 0 to 99 do ScanKates('midi'+IntToStr(i));
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
KillKates;
StopService('RegMonitorEx');
StopService('mnmdd2k');
QuarantineFile('C:\WINDOWS\System32\Drivers\mondrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mnmdd2k.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\mondrv.sys');
SaveLog(GetAVZDirectory+''kates.log');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('RegMonitorEx');
BC_DeleteSvc('mnmdd2k');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится. Сразу, не давая системе загрузится самой, используйте LiveCD. Его можно скачать тут: [URL="ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso"]LiveCD от DrWeb[/URL] или [URL="http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso"]Rescue Disc от Kaspersky Lab[/URL]. Рекомендуется сделать это и записать LiveCD заранее на заведомо незаражённой машине.
3. После загрузки с LiveCD скопируйте куда-нибудь следующие файлы с заражённой системы:
[CODE] C:\WINDOWS\system32\DRIVERS\parport.sys
C:\WINDOWS\system32\drivers\ATAPI.SYS[/CODE]
После этого перезапишите эти файлы незаражёнными версиями с LiveCD.
4. Загрузите систему как обычно. Повторите логи. Попробуйте сделать лог Gmer.
5. Пришлите карантин и скопированные файлы согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
6. Прикрепите новые логи, а также файл kates.log из папки AVZ к новому сообщению в этой ветке.
Все выполнено.
Карантин отправил.
GMER не работает.
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\p7q6xivg.exe','');
DeleteFile('C:\p7q6xivg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог ComboFix
Комбо Фикс полностью не прошел, хотя как сказать :) Сперва выпала ошибка при исполнении PEV.cfxxe. Затем я успел заметить что утилита удалила файл начинающийся на р, затем перезагрузка и синий экран. Ошибка 0х0000007B (0xF78A2524... Сравнил drivers с незараженным компьютером, добавил pciide.sys и удалил pfc.sys pccsmcfd.sys :) Это я наверно виртуальный привод прихлопнул :)
Все загрузилось и заработал GMER. так что выкладываю логи AVZ до последнего "лечения" а GMER после. ComboFix повторить?
Карантин выслал.
Лог КомбоФикс