TR/Agent.Hidding.I Trojan

[000Bars]

Да это сейчас сделаем... При загрузке компьютера опять вылез тот же зараженный файл в системной папке Win, правда не могу понять как, ведь мы его вроде как удалили (C:\Windows\system32\isass.exe)
Сейчас выполним Удалите в МВАМ и сделаем все логи заново.

Добавлено через 2 часа 37 минут

простите за вопрос если он немного не уместен, а удаление в данном варианте безвозвратное? Т.е. мы удалим всю имеющуюся информацию с флешки?

Лог МВАМ прикрепляем.
Лог Hijackthis прикрепляем.

[olejah]

Что с проблемой?

[000Bars]

Сейчас делаю логи АВЗ, антивирусник пока не включал, как закончит выложу логи АВЗ и включу погляжу... информация с флешки вся удалилась, пичаль=(

[olejah]

информация с флешки вся удалилась, пичаль=(

Кем удалилась?

[000Bars]

Удалите в МВАМ все, кроме

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Удалили. Папки видимые на флешки как файлы были в списке. Ест-но что и они тоже "сделали ручкой".
Информацию возможно можно будет возвратить, правда это будет не просто. Главное вирус изжить...

Логи AVZ прикрепляем.

[olejah]

Сдаётся мне, что всё-таки это были файлы, маскирующиеся под папки (такое бывает). Но если что - из карантина МВАМ можно всё восстановить.

[000Bars]

Сдаётся мне, что всё-таки это были файлы, маскирующиеся под папки (такое бывает). Но если что - из карантина МВАМ можно всё восстановить.

Будем думать, что это действительно так...
Перезагрузился, Антивирус не ругается, машина ведет себя вроде адекватно.

Как можно удостовериться, что вирус себя изжил?

[olejah]

Повторите лог МВАМ

[000Bars]

Простите за задержку с ответом... навалилось работы.

Прикрепляем лог МВАМ.

В процессе не ругался, только 1 раз Авира на карантин показала.


Подскажите пожалуйста еще такой вопрос по флешке... папки с нее мы удалили (выше). после чего я заметил, что у меня свободного места на ней почти не осталось... открыв ТК увидел все мои папки, но они скрытые, информация в них вся в полном объеме. Как мне из скрытых ьпапок сделать нормальные?

[thyrex]

открыв ТК увидел все мои папки, но они скрытые

В Total Commander можно изменить атрибуты. См. меню Файл

[000Bars]

Спасибо огромное, вроде разобрался папки стали нормальными.

p.s. Спасибо огромное VIRUSINFO!!! И отдельно: Olejah и thyrex!

[000Bars]

Ребят, вынужден обратиться к Вам вторично, видимо с флешки каким-то образом заразил комп отца, вирус долго не проявлялся, АВИРОЙ проверяли комп, она смолчала посчитали, что все нормально. Сейчас ситуация изменилась после загрузки 100% вылетает окно АВИРЫ с тем же вирусом, никаких изменений (во всяком случае видимых) не наблюдается. Однако я понял что данный вирус на компьютере не один, так как Ваш сайт с того компьютера не могу загрузить не пускает. Сейчас по локалке скидываю все программки чтобы сделать логи и выложить тут. Надеюсь, что сможете помочь мне и теперь.

Заранее спасибо.

p.s. через роут -ф удалось загрузиться к Вам на сайт с зараженного компьютера... сейчас сделаем все логи и выложим.

Выкладываем логи AVZ, Hijack, MBAM.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\qHH0bWR.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\JcOQ7fJ.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\d135c473.exe','');
 QuarantineFile('C:\WINDOWS\fd.dll','');
 DeleteService('navigator');
 QuarantineFile('C:\Program Files\Avant Browser\Skins\F753A90A27F998BC\F753A90A27F998BC','');
 DeleteService('F753A90A27F998BC');
 DeleteService('CSNetManagerXp');
 QuarantineFile('C:\WINDOWS\system32\isass.exe','');
 DeleteFile('C:\WINDOWS\system32\isass.exe');
 DeleteFile('C:\Program Files\Avant Browser\Skins\F753A90A27F998BC\F753A90A27F998BC');
 DeleteFile('C:\WINDOWS\fd.dll');
 DeleteFile('C:\WINDOWS\system32\d135c473.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\JcOQ7fJ.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\qHH0bWR.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Удалите в МВАМ все найденное

Сделайте лог gmer

[000Bars]

Извините за долгий ответ. Все сделали.

Карантин выслали. Реквизиты:
Файл сохранён как 101213_174545_virus_4d063199d4fe0.zip
Размер файла 4059
MD5 6caeeb0e0ba916a44bcc1667dbe69251

Логи прикрепляем.

[thyrex]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится qxv61w7b.exe (gmer)

Код:

qxv61w7b.exe -del service F753A90A27F998BC
qxv61w7b.exe -del service frxfobpgx
qxv61w7b.exe -del file "C:\WINDOWS\system32\puohflw.dll"
qxv61w7b.exe -del file "C:\Program Files\Avant Browser\Skins\F753A90A27F998BC\F753A90A27F998BC"
qxv61w7b.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\frxfobpgx"
qxv61w7b.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\F753A90A27F998BC"
qxv61w7b.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\frxfobpgx"
qxv61w7b.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\F753A90A27F998BC"
qxv61w7b.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\frxfobpgx"
qxv61w7b.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\F753A90A27F998BC"
qxv61w7b.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

[000Bars]

thyrex, скрип выполнили, правда на половину он написал, что такой путь не найден. Антивирусник не орет, работоспособность компьютера вроде нормальная. Есть ли еще в логах что-то "вредное"?

[polword]

- Сделайте повторный лог virusinfo_syscheck.zip;

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.4 или удалите старый.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\application data\\avira\\antivir desktop\\temp\\avscan-20101118-100215-4e333595\\ark12.tmp - Net-Worm.Win32.Kido.ih ( AVAST4: Win32:Crypt-LBZ [Trj] )
  2. c:\\windows\\system32\\isass.exe - Trojan.Win32.Hider.gh ( DrWEB: Trojan.Hidn, BitDefender: Trojan.Generic.1404508, NOD32: Win32/Hider.I trojan, AVAST4: Win32:Hider-E [Trj] )