вирус

Printable View

29.05.2010, 18:35
zoneclear

вирус

Добрый день. Прошу помочь.
Зашел на приличный сайт и браузер завис, фаервол выдал сообщение об изменении файла c.dll, расположенного в папке system32. Кажется ранее его не было. После этого перестали включаться ДрВеб, AVZ, HiJackThis, Диспетчер задач, редактор реестра, пропала закладка Восстановления системы. Так же добавился файл nettir32.exe в автозагрузке. При открывании папок, окна закрываются автоматически.
Не могу выполнить проверку по правилам.
Проверил диск на другой системе ДрВебом с обновлениями. Пишет, что вирусов нет. На Вас вся надежда. Прошу совет.
29.05.2010, 19:23
ARMA9000

Попробуйте сделать логи полимофорным авз из моей подписи.
29.05.2010, 19:47
zoneclear

При запуске avz.exe выключается компьютер. Запускал в обычном режиме (не безопасном).
Файл в автозакгрузке nettir32.exe я переименовал в nettir32.ex_ и поместил в отдельную папку в автозагрузке. И теперь при загрузке системы открывается эта папка.
Может удалить файл c.dll из system32?
29.05.2010, 21:27
thyrex

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]

Содержимое этого параметра напишите в своем сообщении
29.05.2010, 22:39
zoneclear

Спасибо thyrex. Завтра достану резак и вышлю содержимое параметра.
30.05.2010, 19:01
zoneclear

По этому параметру в поле Type написано Reg_SZ, в поле Data написано D:\Windows\System32\c.dll
30.05.2010, 19:15
polword

- Переименуйте этот файл
- Очистите значение параметра AppInit_DLLs
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам

Пришлите переименованный файл D:\Windows\System32\c.dll запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
30.05.2010, 22:23
zoneclear

Выслал карантин (переименован в c_badboy.dll). Логи получились, но базы AVZ от 8 мая, так как при автообновлении выскакивала ошибка "Ошибка в ходе автообновления - ошибка загрузки файла с описанием обновления avzupd.zip".
30.05.2010, 22:41
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\syschecked.exe','');
DeleteFile('D:\WINDOWS\system32\syschecked.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Попробуйте обновить базы
Сделайте новые логи
31.05.2010, 07:50
zoneclear

Базы обновились. Выслал логи и карантин.

Подскажите, файл c.dll, который бал переименован, позже надо будет удалить? И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).
31.05.2010, 08:17
polword

Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
[/CODE]

больше ничего подозрительного

[QUOTE=zoneclear;646634]Подскажите, файл c.dll, который бал переименован, позже надо будет удалить? [/QUOTE]
- удалите

[QUOTE=zoneclear;646634]И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).[/QUOTE]
-Пришлите этот файл запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL].
31.05.2010, 10:18
thyrex

А также

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
31.05.2010, 19:13
zoneclear

Исполнил рекомендации polword (обновления системы позже сделаю). Процедуру автосбора файлов для AVZ провел. Выслал логи RSIT и карантин.
31.05.2010, 19:41
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\vhi.dll','');
QuarantineFile('D:\WINDOWS\system32\kljszs.dll','');
QuarantineFile('D:\WINDOWS\system32\pxku.dll','');
QuarantineFile('D:\WINDOWS\system32\ynsajf.dll','');
DeleteFile('D:\WINDOWS\system32\ynsajf.dll');
DeleteFile('D:\WINDOWS\system32\pxku.dll');
DeleteFile('D:\WINDOWS\system32\kljszs.dll');
DeleteFile('D:\WINDOWS\system32\vhi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи RSIT
31.05.2010, 20:40
zoneclear

Выслал логи и карантин.
31.05.2010, 21:08
thyrex

Чисто. Обновляйте систему
31.05.2010, 21:44
zoneclear

Спасибо thyrex и остальным хелперам. Осталась последняя проблема. При загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его переименовал и переместил). Я его в архиве ZIP выслал. Нужно ли его удалить? И как убрать старт окна?
И еще вопрос. Были ли среди вредителей такие, которые воруют пароли?
31.05.2010, 23:10
thyrex

Пофиксите в HiJack
[CODE]O4 - Startup: карантин[/CODE]Сообщение не появляется?

Воришек паролей нет в карантине
01.06.2010, 00:30
zoneclear

Сообщение не появляется и папка с файлом удалились.

Еще раз сделал стандартный скрипт №2 в AVZ. Эта запись в логе вызвала подозрение. "7. Эвристичеcкая проверка системы
>>> D:\WINDOWS\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена".
На всякий случай сразу высылаю этот лог. Будь добр, скажи - вредно это или нет.

И еще одно в папке где установлен HiJackThis.exe появился файл trend.exe (trend - это учетная запись в системе) с такой же графической иконкой файла как у HiJackThis.exe. Это не вредоносная активность?
01.06.2010, 01:08
thyrex

sptd.sys - это от эмулятора дисков. Файл чистый.

trend.exe запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
01.06.2010, 01:17
zoneclear

Выслал архив.
01.06.2010, 09:55
thyrex

Файл чистый
01.06.2010, 18:27
zoneclear

Огромное спасибо всем хелперам, особенно thyrex, polword и ARMA9000.
02.06.2010, 18:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \c_badboy.dll - [B]Worm.Win32.NeKav.dd[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] d:\windows\system32\kljszs.dll - [B]Worm.Win32.NeKav.dd[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] d:\windows\system32\pxku.dll - [B]Worm.Win32.NeKav.dd[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] d:\windows\system32\syschecked.exe - [B]Backdoor.Win32.Agent.avwa[/B] ( DrWEB: Trojan.PWS.Stealer.267, BitDefender: Gen:Variant.Zbot.11 )[*] d:\windows\system32\vhi.dll - [B]Worm.Win32.NeKav.dd[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] d:\windows\system32\ynsajf.dll - [B]Worm.Win32.NeKav.dd[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \nettir32.ex_ - [B]Backdoor.Win32.Bredolab.fer[/B][/LIST][/LIST]