Зараза

В последние дни браузер Maxthon стал часто зависать, все время самопроизвольно открывалось окно IE с адресом [URL="http://www.clic-tone.com"]www.clic-tone.com[/URL], диспетчер показывал наличие 3-4 неубиваемых процессов iexplorer, а последние 2 дня динамик стал издавать продолжительные 2-тональные сигналы типа сирены. Установлен AVP. Попытки почистить компьютер с его помощью, а также с помощью Ashampoo AntiSpyWare и Spybot, давали какие-то кратковременные результаты. Времени на переписку с Вами не было и вчера сделал восстановление системы в безопасном режиме (по-другому не получалось). Сейчас вроде все нормально. К сожалению, никаких логов у меня нет. Вопрос:
1. Правильно ли я сделал
2. Что это могло быть
3. Как правильно поступать в будущем
4. Какая защита наиболее пригодна (AVP, Ashampo и Spybot не справились)
PS. Часто появлялись сообщения AVP об активности Ref Spam Meet Body/MfcdFree.exe
Есть файл C:\WINDOWS\system32\drivers\etc\host. На мой взгляд, его просто изнасиловал кто-то типа "added by CiD". В C:\Documents and Settings\All Users\Application Data были 2 папки типа Ref Spam Meet Body и Bin Locks Dupe

[URL="http://virusinfo.info/showthread.php?t=1235"]Выполнить[/URL]

Вы считаете, что есть смысл, ведь сейчас все работает внешне нормально?

С Ваших слов невозможно точно узнать что твориться в Вашей системе сейчас. Сказать точно смогу только после того как будут логи.

OK, сделаю

Все сделал

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tcpsvcs.exe','');
QuarantineFile('c:\windows\system32\lexpps.exe','');
QuarantineFile('C:\WINDOWS\web\related.htm','');
QuarantineFile('C:\WINDOWS\ANKER.SCR','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe','');
QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe','');
QuarantineFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe','');
QuarantineFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll','');
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите".

[quote=MaXim;100157][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [code]O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
[/code] Пришлите файлы карантина по правилам раздела "Помогите".[/quote]
Сделал, но нет уверенности, что сделал правильно. Имелись ввиду файлы карантина AVZ?

Подумал и решил, что может еще нужны логи HijackThis. Ведь не зря же надо было сделать "После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis"
Лог hijackthis_2 получен после сканирования системы, а hijackthis_3 - после выполнения операции "Fix checked"

Ну вот, только отправил предыдущее сообщение и компьютер опять начал издавть 2-тональный сигнал типа полицейской сирены. Можно ли перезапустить его для избавления от этого воя?

[QUOTE]Имелись ввиду файлы карантина AVZ?[/QUOTE] Да.

Звери вроде есть у вас, а по поводу "сирены" - это железная проблема. Проверьте, крутится ли вентилятор на процессоре.

Подергал разъемы на материнке и звук пропал. Может быть его причиной был вовсе не вирус? Посмотрим дальше, но бездействие системы с момента появления звука сохраняется 90-95%. Вентилятор на процессоре мне пока недоступен из-за блока питания. Позже разберу и посмотрю.

Сообщите, пожалуйста, как там мои вирусы?

Сообщите пожалуйста, куда вы дели файлы карантина?
[url=http://virusinfo.info/upload_virus.php?tid=8458]Нужно было сюда[/url], ссылка на тему [url]http://virusinfo.info/showthread.php?t=8458[/url], согласно приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]Правил[/url]

Отправил повторно

В присланном были не все запрошенные. Те, что прислали - чистые.
Попробуйте теперь так.
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
BC_QrFile('c:\windows\system32\tcpsvcs.exe');
BC_QrFile('C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe');
BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
BC_QrFile('C:\Bosch ESI\ESItronic\KTS500\ph_test.exe');
BC_QrFile('C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки файл карантина вышлите и прикрепите сюда файл boot_clr.log.

Результат загрузки
Файл сохранён как 070322_222934_virus 2007-03-22_4602d91e272e1.zip
Размер файла 467610
MD5 6c6fb9a7cfa27424408401feff300163

Обращаю еще раз Ваше внимание: наличие вирусов (?) было очевидно только до отката системы. Сейчас, на мой взгляд, все нормально, хотя иногда KAV сообщает о запуске каких-то не совсем понятных процессов.

Те файлы, что попали в карантин чистые :) Остальные Вам придется вылавливать вручную. Перезагрузите компьютер в режим Safe Mode. О таом как это сделать написанно [URL="http://www.kaspersky.ru/support/kav6mp2/tech?qid=180593101"]здесь[/URL] Вам нужно включить настройку "показывать скрытые и системные файлы". В проводнике это делается так:
[B]Мой компьютер - Сервис - Свойство папки Вид - Скрытые файлы и паки - Показывать скрытые файлы и папки[/B]. Ищите вручную файлы
[QUOTE]C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll[/QUOTE]
Копируете эти файлы в отдельную папку. Перезагружаетесь в обычный режим. Архивируете паку в которую копировали эти файлы под пароль [B]virus[/B] и присылаете архив к нам по правилам раздела.

C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch

C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp

[quote]C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch[/quote]
Пришлите его.

[quote]
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\System.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp[/quote]
Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings

Что мне делать дальше? Поиск осуществлял так, как Вы сказали. Искал и вручную, и с помощью процедуры ПОИСК.

Ну получилось их закарантинить в ручную?

[quote=Bratez;100941]Пришлите его.

Выражение вида DOCUME~1 означает, что имя папки начинается на DOCUME и имеет длину более 8 знаков. В данном случае очевидно это папка Documents ans Settings.
КОНСТА~1.T98 скорее всего КОНСТАНТИН.T98
(или как у вас называется пользователь)
LOCALS~1 = Local Settings[/quote]

Все это я знаю уже лет 10. Там и смотрел. Но папки nsb7.tmp нет!
Файл MfcdFree.exe-00C2D669.pf отправил.

Файл сохранён как 070323_235641_virus_230307_46043f0976601.zip
Размер файла 12175
MD5 76697430c42f905a1af0bf5d1b57eada

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\docume~1\конста~1.t98\applic~1\binloc~1\Nurb plus way.exe');
DeleteFile('C:\DOCUME~1\КОНСТА~1.T98\APPLIC~1\BINLOC~1\ErrorClose.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание.
2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp.
3. Сделайте новые логи.

[quote=Bratez;101121]
Компьютер перезагрузится. После этого:
1. Панель управления - Назначенные задания - удалите задание..[/quote]
Был только пункт "Добавить задание"
[quote]
2. Очистите полностью папку C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp. .[/quote]
Очистил папку C:\Documents and Settings \Константин.T98SAREB86S4DOC \Local Settings\Temp
Из этой папки не смог удалить nsk3.tmp\system.dll
[quote]3. Сделайте новые логи.[/quote]
Сделал и загрузил
Файл сохранён как 070324_151627_virus_240307_4605169be9918.zip Размер файла28929
MD5 d01f79052d9f5ff645e73d66f6c8763a

[B][COLOR="Red"]Логи прикреплять надо к сообшению!!!![/COLOR][/B]

[B][I]kservice[/I][/B], Вам говорит о чем-нибудь название программы [B]RedSwoosh[/B]?

RedSwoosh - это программа-загрузчик. Была установлена по предложению, не помню какого, файлообменника типа FileFactory. Установлена после описаных событий. Вызывает подозрение?

Да. Дело в том, что именно она использует тот неуловимый файл system.dll, который появляется то в одной то в другой подпапке в Local Settings\Temp. Скажем так, слишком "некрасивое" поведение для легитимной программы.

Попробуйте добавить в карантин тот неудаляемый экземпляр system.dll в какой-то из подпапок Local Settings\Temp и пришлите по правилам.

Сделал.
Файл сохранён как 070324_165440_virus_2_240307_46052da091efb.zip

Проверил на Вирустотале - все дружно сказали "Чист!".
Я думаю, если у вас все работает нормально, то на этом можно закончить.

KAV предупреждает о наличии вирусов. Можно их удалить?

Не можно, а нужно! Только пожалуйста подробности - в студию, что же мы там прошляпили?

Думаю, что Вы ничего не прошляпили. По-моему, эти вирусы - результат загрузки файлов за последние 2 дня. Сделаю полную проверку- сообщу.
А что такое Вирустотал?

[QUOTE]А что такое Вирустотал?[/QUOTE]
[url]http://www.virustotal.com[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]