Собственно, subj.
Компьютер был замечен в попытках рассылки червей/троянов по 25 порту (заблочено на сервере).
Вот логи.
Printable View
Собственно, subj.
Компьютер был замечен в попытках рассылки червей/троянов по 25 порту (заблочено на сервере).
Вот логи.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\CnsMin.dll','');
QuarantineFile('C:\WINDOWS\system32\xedifpdo.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
DelBHO('{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}');
DelBHO('{FD00D911-7529-4084-9946-A29F1BDF4FE5}');
DelBHO('{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}');
DelBHO('{6354ABE6-05F1-49ed-B850-E423120EC338}');
DelBHO('{5D73EE86-05F1-49ed-B850-E423120EC338}');
DelBHO('{59BC54A2-56B3-44a0-93E5-432D58746E26}');
DelBHO('{507F9113-CD77-4866-BA92-0E86DA3D0B97}');
DelBHO('{BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56}');
QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist','');
QuarantineFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816','');
QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail','');
DeleteService('khkdnd');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\CnsMinKP.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ACPISYS.sys','');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys','');
DeleteService('00');
StopService('00');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys');
DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys');
DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail');
DeleteFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816');
DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist');
DeleteFile('http:\cn.widget.yahoo.com/index.htm?source=Cns');
DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg');
DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair');
DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Доброго дня!
Карантин:
Файл сохранён как 100408_105759_quarantine_4bbd7e77f20a2.zip
Размер файла 267070
MD5 0a1d84fe29b40589d4fbc1fa6a1df2b8
И новые логи.
Кстати, если интересно, то сервером были заблочены попытки рассылки по следующим адресам:
64.12.90.65
64.18.4.10
64.191.203.36
65.55.37.72
69.63.176.71
74.125.148.14
205.188.155.110
209.85.211.32
Все по smtp (tcp/25).
[size="1"][color="#666686"][B][I]Добавлено через 1 час 37 минут[/I][/B][/color][/size]
Ребята, а продолжение будет?
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\cnsio.dll','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
DeleteService('CnsStd');
DeleteService('CnsMinKP');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll');
DeleteFile('C:\WINDOWS\DOWNLO~1\cnsio.dll');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll');
DeleteFile('C:\WINDOWS\System32\drivers\CnsStd.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CnsMin');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D157330A-9EF3-49F8-9A67-4141AC41ADD4}');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Новый карантин:
Файл сохранён как 100408_150928_quarantine_4bbdb96845bb5.zip
Размер файла 216881
MD5 f4b421b3a756d22880378577dc5f46dd
И логи:
Очень надеюсь, что завтра будет продолжение...
Что-то не наблюдаю активности :(
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('D157330A-9EF3-49F8-9A67-4141AC41ADD4');
DelCLSID('59BC54A2-56B3-44a0-93E5-432D58746E26');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll','');
QuarantineFile('C:\PROGRA~1\3721\helper.dll','');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог Gmer
Файл сохранён как 100409_114115_quarantine_4bbeda1b79b72.zip
Размер файла 13471
MD5 653a6edb23632d48eb5afaf066734d97
И новые логи
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
[CODE]GMER.exe -del service ooqlhnsb
GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb"
GMER.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer
Значится так:
1. Выполнение bat-ника не привело ни к чему -- процесс не найден и пути не найдены :(
2. Новый лог GMERa сделал.
Может, мы не оттуда начали копать? IMHO, тут есть интесная папка C:\Program Files\3721\*.*, там кучка dll-ек, некоторые ссылаются на сайт (копирайтом прописан в самой библиотеке) 3721.com.
Удалите старый bat-ник, еще раз выполните мое последние предписание.
И сделайте кроме лога Gmer, лог MBAM
[QUOTE=shapel;618498]... еще раз выполните мое последние предписание...[/QUOTE]
Это какое предписание? Я что-то не понял :(
Ну вот новый лог GMER и лог mbam.
В mbam-е я ничего не исправлял пока...
Кстати, после апдейта mbam попытки рассылки прекратились... :)
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
[CODE]GMER.exe -del service ooqlhnsb
GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb"
GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb"
GMER.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится.
Удалите в MBAM[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bhoapp (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bhoapp.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
C:\Program Files\3721 (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\3721 (PUP.BitSpirit) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\cns.exe (Adware.CnsMin) -> No action taken.
C:\WINDOWS\system32\cns.dll (Adware.CnsMin) -> No action taken.
C:\WINDOWS\Downloaded Program Files\cnshint.dll (Adware.CnsMin) -> No action taken.
C:\WINDOWS\Downloaded Program Files\keepmain.dll (Adware.CnsMin) -> No action taken.
C:\Program Files\3721\CNSMIN.DAT (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\windex.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cnsm.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolive.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cns01.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolive.ini (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\helper.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\winhex.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\cns03.dat (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch03.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolvup.cab (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch05.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\patch06.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\autolvsw.ini (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\alliveex.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\scrblock.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\alrex.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\notifier.dll (PUP.BitSpirit) -> No action taken.
C:\Program Files\3721\3721\AutoLive.dll (PUP.BitSpirit) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\syspck32.exe (Trojan.Downloader) -> No action taken.[/CODE]
Сделать новый лог gmer и лог MBAM
Батник опять сообщает об отсутствии сервиса и ключей в реестре :(
Занимаюсь подчисткой в mbam-e...
В mbam-e все вычистил.
Сделал новый лог GMER-а. Service ooqlhnsb остался. Может его "приложить" прямо в программе, а заодно и ooqlhnsb.sys?
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ooqlhnsb');
QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
BC_ImportAll;
BC_DeleteSvc('ooqlhnsb');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте лог virusinfo_syscheck.zip и лог Gmer
Новый карантин:
Файл сохранён как 100409_191608_quarantine_4bbf44b8dc4ad.zip
Размер файла 13471
MD5 0e0b993627248b8688375ab5e12a8d51
И логи:
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ooqlhnsb');
QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uwlcypoc.sys','');
QuarantineFile('uwlcypoc.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys');
BC_DeleteSvc('ooqlhnsb');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]
Делаем паузу, надо с коллегами посоветоваться.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
1. Скачайте Live CD Vba32 Rescue:
[URL]http://anti-virus.by/download_files/vbarescue.iso[/URL]
2. Запустите командную оболочку и наберите:
[QUOTE]find / -name ooqlhnsb.sys | while read FILE; do zip -m -j "$(dirname "${FILE}")/virus.zip" "${FILE}"; done[/QUOTE]
3. Файл virus.zip загрузите по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
4. Повторите логи.
Все бы классно, только вот файлик virus.zip не создался :(
Может, в коммандной сторке ачепятка?
Сделайте новый лог virusinfo_syscheck.zip
Сделал + лог GMERа (на всякий случай)
Просканируйте ПК с помощью Live CD Vba32 Rescue--[URL="http://virusinfo.info/showpost.php?p=433671&postcount=3"]http://virusinfo.info/showpost.php?p=433671&postcount=3[/URL]
Файл отчета заархивируйте в zip-архив и прикрепите его к сообщению в Вашей теме.
Сделайте лог Gmer
[B]shapel[/B],
сдуру запустил полную проверку дисковой подсистемы... :(
Т.ч. теперь жду окончания. Но уже вижу, что ooqlhnsb.sys удален и помещен на карантин :)
Ну вот, наконец-то закончилась проверка.
Срабатывание антивируса на диске D можно не учитывать (я просто сделал "промежуточный сэйв" на случай пропадение эд.питания -- комп без УПСа).
Да, а собственно карантин нужен?
В логе чисто, что с проблемой?
Ну, пока сказать довольно сложно, но надеюсь, что проблема решилась.
Тормоза, правда, остались :( , но это может быть связано с другими установленными прогаммами.
Могу ли я заняться "ручной чисткой" установленного ПО?
Очистите все временные файлы, затем выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /r /f нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
[QUOTE='vgm;620300']Могу ли я заняться "ручной чисткой" установленного ПО? [/QUOTE]
Да
Спасибо! На всякий случай прошу эту тему не закрывать пока.
Пожалуйста! Не закроем. Понаблюдайте за ПК некоторое время и отпишитесь.
Все, тема исчерпана. Можно закрывать. :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]