Как лечить? Я вижу зловредов, но как убить?

Здравствуйте!

Обращаюсь за помощью, поскольку сам не знаю, что делать дальше.
Логи в аттаче, будьте добры, посмотрите, пожалуйста.
Заранее благодарен.

С уважением.

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cpl_moh.cpl','');
QuarantineFile('C:\WINDOWS\system32\AdvUninstCPL.cpl','');
QuarantineFile('C:\WINDOWS\system32\CD_Load.exe','');
QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
QuarantineFile('C:\WINDOWS\system32\wintuh32.dll','');
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\cd_clint.dll','');
QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('c:\program files\kaspersky lab\kaspersky anti-virus 6.0\updater2005.ppl','');
QuarantineFile('C:\Documents and Settings\Andy.HOME-QKICGUK841\Local Settings\Temporary Internet Files\Content.IE5\4KD090HS\openpass[1].zip/{ZIP}/OPENPASS.EXE','');
RebootWindows(true);
end.
[/code]
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9301[/url].......

Спасибо за ответ.
К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?

[quote=AndyR0;106004]Спасибо за ответ.
К сожалению, проделать рекомендованное смогу только вечером, поскольку это несчастье случилось на домашнем компьютере.
Если разрешите, ещё вопрос: - это нужно для того, чтобы выслать файлы из карантина на анализ или таким образом производится лечение?[/quote]
вы проницательны:)

Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства :)

@Drongo Думаю, последнюю фразу надо вставить в шаблон письма. :)

[quote=drongo;106012]вы проницательны:)

Сначала врач должен посмотреть результаты анализов, а потом уже давать рекомендации к лечению организма , а также всем остальным путём выпуска нового лекарства :)[/quote]
Да, действительно, Вы правы, что-то я сглупил.:embarasse

Если позволите, я дополню картину теперешней ситуации: при загрузке в безопасном режиме, экран становится чёрным с надписями по углам "безопасный режим", но есть возможность по Ctrl+Alt+Del вызывать диспетчер задач, и соответственно, командную строку. Попытки восстановить (потому как оказалась уничтоженной) ветку реестра CurrentControlSet с помощью AVZ (восстановление системы) или импортом скореектированной CurrentControlSet001, не привели к "оживлению" экрана в безопасном режиме. Это я пишу на случай того, что если придётся выполнять какие-то действия в безопасном режиме, достаточно ли будет командной строки?

Если в нормальном не грузиться,
можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
[B]логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим. [/B]

[quote=drongo;106044]Если в нормальном не грузиться,
можно авз запускать и в безопасном режиме.по Ctrl+Alt+Del вызывать диспетчер задач, новая задача, найти путь к авз и запустить .
[B]логи надо делать в нормальном режиме, как сказано в правилах, а то многих зверей не увидим. [/B][/quote]

Логи я делал в обычном(нормальном) режиме, в безопасном я пытался запустить поиск/лечение КАВ-ом и пробовал прибить зловредные dll-ки.

Добрый вечер!

Карантин по ссылке загрузил, с нетерпением буду ждать результатов обследования.

С уважением.

Из того, что прислали: C:\WINDOWS\system32\CD_Load.exe - a variant of Win32/Adware.Cydoor (по Nod32)
C:\WINDOWS\system32\mlljj.dll - Trojan.Virtumod (по DrWeb)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\byxvtts.dll','');
QuarantineFile('C:\WINDOWS\system32\COMPT.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-117609710-583907252-725345543-1003\Dc153.dll');
DeleteFile('C:\WINDOWS\system32\CD_Load.exe');
DeleteFile('C:\WINDOWS\system32\mlljj.dll');
DeleteFile('byxvtts.dll');
DeleteFile('wintuh32.dll');
DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
ExecuteSysClean;
BC_Importall;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите содержимое карантина AVZ и сделайте, пожалуйста, новые логи.

Всё понял, действую.

Закачал карантин, сделанный сразу после выполнения Вашего скрипта - файл "virus_1". Затем закачал карантин, сделанный после стандартного скрипта "лечения/карантина и сбора..."- это файл "virus".
Логи прикладываю.

Странно, живучие однако.Или вы те же логи загрузили ?
в общем отключиться от инета , отключить антивирус , выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('c:\windows\system32\tlntsvr.exe','');
QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перегрузки включить антивирус и сделать новые логи.
Пришлите , то что попадёт на сей раз в карантин .

[quote=drongo;106177]Странно, живучие однако.Или вы те же логи загрузили ?
в общем отключиться от инета , отключить антивирус , выполнить скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tlntsvr.exe','');
QuarantineFile('C:\WINDOWS\system32\habuwoow.dll','');
QuarantineFile('C:\WINDOWS\system32\mlljj.dll','');
BC_DeleteFile('C:\WINDOWS\system32\mlljj.dll');
BC_DeleteFile('C:\WINDOWS\system32\byxvtts.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перегрузки включить антивирус и сделать новые логи.[/quote]
Нет-нет, всё сделал заново.
Понял, приступаю. Но результаты выложу, наверное, увы, только завтра, т.е. сегодня утром.

P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.

[QUOTE]P.S. Приятно удивлён, что Вы появились на форуме в столь позднее время.[/QUOTE]Форум работает круглосуточно ;) Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.

[quote=MaXim;106192]Форум работает круглосуточно ;) Открою не большой секрет. Далеко не все консультанты живут в Росии. Следовательно из-за разницы в часовых поясах и большим количеством консультантов, в любое время суток кто-то на форуме бывает.[/quote]

Приветствую, MaXim!
Именно различие во времени я и имел ввиду, зная, который сейчас час там, откуда drongo...
Я выполнил скрипты, прилагаю логи и выкладываю карантин.

В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки:[code]O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\[/code] Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

C:\WINDOWS\system32\habuwoow.dll - Trojan.Virtumod(по DrWeb). Практически все, что сегодня насобирали, DrWeb детектит, так что, думаю, хорошо бы, в дополнение, скачать [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt![/URL] и проверить систему, загрузившись в [URL="http://virusinfo.info/showthread.php?t=9279"]безопасном режиме[/URL]

Доброе утро!


[quote=Numb;106199]В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки:[code]O2 - BHO: (no name) - {0309638F-93F8-44D3-84CF-240EB1AB7F1F} - C:\WINDOWS\system32\byxvtts.dll (file missing)
O2 - BHO: (no name) - {AEED6683-7203-41B2-A9D1-09A3BDF73DF5} - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: byxvtts - C:\WINDOWS\
O20 - Winlogon Notify: mlljj - C:\WINDOWS\system32\mlljj.dll (file missing)
O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\[/code] Далее, "Пуск" - "настройка"-"панель управления" - "администрирование" - "службы" - найдите службу Telnet, если запущена - остановите, "тип запуска" поставьте - "отключена". Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\habuwoow.dll');
QuarantineFile('C:\Program Files\UltraISO\isoshell.dll','');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите снова карантин AVZ и сделайте логи, начиная с п.10 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/quote]

Обязательно сделаю, но теперь только вечером.
Спасибо.

С уважением.

Добрый вечер!

Выкладываю логи и карантин. В последнем что-то не то с датой и временем создания одного из файлов, но почему так получилось- затрудняюсь сказать. Не знаю, драматично ли неправильно я поступил, запустив в промежутках между созданием логов КАВа, но он при этом обнаружил 3 новых .длл, идентифицировав их как Virtumonde.
Жду дальнейших указаний.

Вроде бы, чисто в логах. Какие-нибудь симптомы заражения остались? Для очистки совести: вот эти строчки: [code]127.255.255.255 195.137.236.101
127.255.255.255 195.137.236.101[/code] в файл hosts сами прописывали? Если нет, то AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearHostsFile;
end.[/code] И, все же, попробуйте дополнительно провериться Cureit! в безопасном режиме.

[quote=Numb;106507]Вроде бы, чисто в логах. Какие-нибудь симптомы заражения остались? Для очистки совести: вот эти строчки: [code]127.255.255.255 195.137.236.101
127.255.255.255 195.137.236.101[/code] в файл hosts сами прописывали? Если нет, то AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearHostsFile;
end.[/code] И, все же, попробуйте дополнительно провериться Cureit! в безопасном режиме.[/quote]

Нет-нет, в файл hosts ничего не прописывал. Сейчас выполню скрипт.
К моему предыдущему сообщению об обнаружении КАВ-ом трёх зараженных файликов добавлю, что он удалил их.
По симптомам:
В каталоге \system32 вижу три оставшиеся .длл, совпадающие по предполагаемой дате заражения, по размеру (275Кб) и имеющие характерные названия (т.е. по две одинаковых буквы) и не имеющие цифровых подписей. Рядом с ними (при сортировке по времени) находятся файлы "параметры конфигурации" размером 353 байта.

Далее, в момент запуска IE проактивка КАВа буквально "захлёбывается" (сужу по индикатору загрузки процессора) от следующего:
27.04.2007 23:49:23 C:\WINDOWS\system32rundll32.exe Попытка загрузки нового или измененного модуля SpvHook.dll в процесс.
27.04.2007 23:49:23 C:\WINDOWS\system32\rundll32.exe Действие запрещено.

В качестве SpvHook.dll были и wl_hook.dll, correct.dll, winlogon.exe.
Запуск IE при этом основательно зависает. Да, чуть не забыл, -при его запуске выскакивает окно с названием "iexplorer.exe - Неверный образ" и содержимым окна " Приложение или библиотека с:\.....\agnitum\outpost...\wl_hook.dll не является образом ....для Windows NT. Проверьте назначение уст. диска."

А Cureit!-том сейчас попробую проверится, если удасться зайти в безопасный режим, ранее с этим были проблемы.
Спасибо за помощь.

С уважением.

Виноват, и правда, не заметил, что оутпоста нет активного. Если не сами его отключили на время создания логов, а он, действительно, был удален с машины, тогда, в дополнение, в программе hijackthis пофиксите строчки [code]O9 - Extra button: <PRODUCT> Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll (file missing)
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll[/code], в программе AVZ выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hdlr.dll');
DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hook.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] В дополнение, рекомендую просмотреть [URL="http://forum.five.mhost.ru/kb2/index.php/%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B4%D0%B5%D0%B8%D0%BD%D1%81%D1%82%D0%B0%D0%BB%D0%BB%D1%8F%D1%86%D0%B8%D0%B8_%D0%B8_%D0%BF%D0%B5%D1%80%D0%B5%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B5_Outpost_Firewall"]вот этот[/URL] документ

[url]http://virusinfo.info/showthread.php?goto=newpost&t=9279[/url]

Итак, похоже, всё благополучно завершилось!

Анализ программами VundoFix, VirtumundoBeGone и CureIt! не выявил более наличия на компьютере вирусных .dll . Ранее обнаруженные КАВ-ом .dll-ки были им-же и удалены. Тех упомянутых подозрительных я удалил из безопасного режима, в который теперь уже можно войти.
Для себя сделал несколько выводов, один из которых то, что вовсе не нужно сразу же форматировать диск, существуют более гуманные и щадящие, и что самое главное, более правильные методы борьбы с вирусами.

Хочу поблагодарить всех участвующих в этом топике и помогавших в решении этой проблемы и пожелать всего самого хорошего, успехов и удачи!

С уважением,
Андрей.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cd_clint.dll - [B]not-a-virus:AdWare.Win32.Cydoor.a[/B] (DrWEB: Adware.Cydoor.5)[*] c:\\windows\\system32\\cd_load.exe - [B]not-a-virus:AdWare.Win32.Cydoor.e[/B] (DrWEB: Adware.Cydoor.4)[*] c:\\windows\\system32\\habuwoow.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.anaa[/B] (DrWEB: BackDoor.Iterator)[*] c:\\windows\\system32\\mlljj.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.fp[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]