Нет связи с virusinfi.info

Printable View

09.12.2009, 14:33
gynman

Нет связи с virusinfi.info

Пока других проявлений нет. Приходится писать сюда с другого компа.
AVZ ругается на некоторые файлы. Есть подозрение на что-то нехорошее.
09.12.2009, 14:47
Ingener

1) Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
DeleteFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi');
DeleteFile('H:\autorun.inf');
DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(4);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
[QUOTE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/QUOTE]
Файл quarantine.zip из папки с AVZ закачайте по ссылке "[COLOR="Red"]прислать запрошенный карантин[/COLOR]" вверху темы.
3) Сделайте новые логи + такой лог: [url]http://virusinfo.info/showthread.php?t=40118[/url]
09.12.2009, 23:44
gynman

все сделал, доступ на сайт появился, но AVZ все еще ругается. Gmer - скачать неполучается. 404 ошибка.
10.12.2009, 00:06
vegas

Уберите карантин из поста, закачайте его по красной ссылке вверху. Скачайте Gmer [url]http://www2.gmer.net/gmer.zip[/url] и сделайте лог
10.12.2009, 00:15
gynman

закачал...
10.12.2009, 00:35
vegas

[QUOTE='vegas;530542']Скачайте Gmer [url]http://www2.gmer.net/gmer.zip[/url] и сделайте лог [/QUOTE] Выполните
10.12.2009, 10:53
gynman

наконецто удалось.... :)
10.12.2009, 11:33
Ingener

1) Выполните скрит в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq');
QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.

2) Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:
[CODE]Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR[/CODE]
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам.

Скачайте свежий CureIT! и проверьте компьютер - сообщите обнаружил ли он буткит и пролечил ли его.

Cделайте новый лог GMER.
10.12.2009, 13:13
gynman

AVZ - почему теперь незапускается, ждет 3-5 сек и просто незапускается. остальные проги открываются нормально, скачал новый все равно таже ситуация.
10.12.2009, 13:18
Ingener

Попробуйте сделать так:
1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com
3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard)
Если после этих манипуляций всё равно не удастся запустить AVZ - попробуйте такую версию AVZ: [url]http://ifolder.ru/13623748[/url]
Аналогично переименуйте папку и исполняемый файл программы HijackThis.

После этого выполните рекомендации из моего поста [B]#8[/B] + сделайте все логи по правилам.
10.12.2009, 14:22
gynman

[QUOTE=Ingener;530814]1) Выполните скрит в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq');
QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

2) Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:
[CODE]Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR[/CODE]Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам.

Скачайте свежий CureIT! и проверьте компьютер - сообщите обнаружил ли он буткит и пролечил ли его.

Cделайте новый лог GMER.[/QUOTE]

скрипт выполнился. а вот на втором этапе только одна срочка:

[B]AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
и больше, как вы писали, ничего необнаруживается.
даное содержание сохранить?
[/B]
10.12.2009, 14:52
Ingener

Скачайте свежий CureIT! и произведите полную проверку всех дисков.
Потом сделайте новый лог GMER - посмотрим в чём дело.
10.12.2009, 17:09
gynman

логи на всякий случай.
10.12.2009, 17:27
Ingener

Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\Елена\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)[/CODE]

Сделайте лог GMER - без него невозможно определить пролечена ли полностью система.
Я же вас просил сделать лог GMER:
[QUOTE]Потом сделайте новый лог GMER[/QUOTE]
10.12.2009, 17:31
gynman

GMER ЛОГ.
оСТАЛЬНОЕ ПРОФИКСИЛ.
Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?
10.12.2009, 17:45
Ingener

У вас буткит.
Проверку CureIT! выполняли?

[QUOTE]Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=27923[/url]
10.12.2009, 17:48
gynman

[QUOTE=Ingener;531200]У вас буткит.
Проверку CureIT! выполняли?
[URL="http://virusinfo.info/showthread.php?t=27923"][/URL][/QUOTE]
да, он один нашел и удалил. после перезагрузки прогнал еще, ничего не обнаружил. после делал приведенные логи.
10.12.2009, 18:02
Ingener

1) Скачайте эту программу:
[url]http://www.esagelab.com/files/bootkit_remover.rar[/url]
2) Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!):
[CODE]remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0[/CODE]
Запустите cleanup.bat
По окончании в папке появится файл mbr.bin. Пришлите его согласно Приложению 3 правил.
3) Сделайте новый лог GMER.

[QUOTE]*** ВНИМАНИЕ!
При перезаписи MBR всегда существует небольшой риск нанести вред операционной системе. Поэтому, перед тем как использовать утилиту Bootkit Remover, обязательно приготовьте загрузочный установочный диск с используемой версией Windows, с помощью которого (Recovery Console) можно восстановить MBR в случае его повреждения.[/QUOTE]
Если возникнут проблемы с загрузкой операционной системы - выполните следующее:
Загрузится с установочного диска в режиме консоли и выполнить "fixmbr"
10.12.2009, 18:56
gynman

загрузил mbr.zip, проверил gmer-ом вот лог:
10.12.2009, 19:43
Ingener

1) Выполните команду [B]fixmbr \device\harddisk0[/B] в консоли восстановления - подробнее здесь:
[url]http://support.microsoft.com/kb/307654/ru[/url]
2) Сделайте новый лог GMER.
13.12.2009, 14:49
gynman

[QUOTE=Ingener;531308]1) Выполните команду [B]fixmbr \device\harddisk0[/B] в консоли восстановления - подробнее здесь:
[URL]http://support.microsoft.com/kb/307654/ru[/URL]
2) Сделайте новый лог GMER.[/QUOTE]
а без консоли никак иначе нельзя это сделать?
Пока все старания с запуском консоли неувенчались успехом.
13.12.2009, 23:43
Ingener

[B]gynman[/B] - проблема сама разрешилась, это фолсит GMER на нестандарьный загрузчик, вредоносный код у вас в MBR не обнаружен - никаких действий больше предпринимать не нужно.

Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: [url]http://virusinfo.info/showthread.php?t=30339[/url]
14.12.2009, 16:48
gynman

Огромное спасибо вам всем за такую работу.
15.12.2009, 16:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]