С меня перевели все WebMoney, видимо словил трояна. Систему почистил КИСом и Аутпостом. тут логи AVZ & HijackThis.

[asp1r1n]

появились в корне С:\ три экзешника но КИС сразу показал их попытки доступа к реестру которые и были заблокированы! Файлы удалены (хотя вири в них не обнаружены оО) После этого прогнал диски на поиск вирусов и руткитов - все чисто. вечером в 22-45 из кипера перевели все до копейки (конечно сумма относительно не большая, ~2000вмр, но все же).

Кстати после этих фигней с 3 файлами и их попыток была нужда загрузить кипер - в нем почему-то перестал быть сохранен мой ВМИД, я его прописал там по новой, указал кошельки, ввел пароли, на почту выслали авторизацию и я этот код ввел. После этого в кипер до сегодняшнего вечера не заходил.

Всю систему проверил КИСом. Удалил экзешник и дллку из папки system32/drivers (KIS не видел в них вируса кстати).




Сейчас какая проблема: Все ли я вычистил и чиста ли система? Проверил по инструкции в этом разделе прогами AVZ & HijackThis. Логи прикрепляю ниже.
На данный момент стоят и Аутпост и КИС7. Из вирусом они ничего не показывают. Т.е. типа после того случая все удалено...

Буду рад Вашей помощи.

[V_Bond]

outpost с кис не сочетаются в кисе свой ферволл .... outpost - убрать ..
пофиксите ...

Код:

O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - ktask.dll (file missing)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{E1290342-AAFF-4f7c-9F45-D665E4BF1A00}');
 QuarantineFile('ktask.dll','');
 QuarantineFile('C:\WINDOWS\system32\cxscheca001.dll','');
 QuarantineFile('ke32paag.dll','');
 QuarantineFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\DOCUME~1\Artyom\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('ke32paag.dll');
 DeleteFile('C:\WINDOWS\system32\cxscheca001.dll');
 DeleteFile('ktask.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[asp1r1n]

Сделал оба действия.

Карантин выслал.

Что-то еще от меня требуется? Повторное сканирование системы?
Вообще как ? Что-то было плохое или все неплохо?

[wise-wistful]

В карантин тех кого хотели не попали.
Сделайте новые логи...

[asp1r1n]

В карантин тех кого хотели не попали.
Сделайте новые логи...

Сделал все тоже самое что в начале темы делал (три новых файла прикрепляю к этому сообщению).

Прогнал еще раз написанный выше скрипт однако в каратине так и осталось теже 4 файла. (Т.е. ничего нового! Какой я отправлял карантин через форму такой он и остался)


П.С.: Подскажите еще плиз: Надо ли повторно менять пароли всякие разные если я их сменил еще до обращения на этот форум? (Или было среди логов что-то страшное?)

[wise-wistful]

Сказать точно мы не сможем, т.к. образцы зловредов в карантин не захотели, можем только предположить, что temp\winlogon.exe - Trojan-Proxy.Win32.Small.hu, WINDOWS\csrss.exe может быть Email-Worm.Win32.Scano.ac, cxscheca001.dll - Trojan-PSW.Win32.Agent.im по поводу остальных, кто его знает кто это был. Пароли в принципе можно для перестраховки сменить ещё раз после окончания лечения.
TrafficCompressor - Вы устанавливали?
Ip6Fw.sys - поищите при помощи авз сервис--поиск файлов на диске, найдётся, пришлите согласно приложению 2.

[asp1r1n]

temp\winlogon.exe
WINDOWS\csrss.exe
cxscheca001.dll

Этих файлов у меня на жестком нету. Т.е. вручную я их не нашел.


TrafficCompressor - устанавливал я но уже давно не юзаю.


Ip6Fw.sys - на диске нет. Есть только Ip6Fw.sys.tmp в той же папке.

[V_Bond]

temp\winlogon.exe
WINDOWS\csrss.exe
cxscheca001.dll
Этих файлов у меня на жестком нету.

естественно нет ... мы же их удалили скриптом ...
Ip6Fw.sys.tmp - согласно приложения 3 правил ...

[asp1r1n]

Ip6Fw.sys.tmp - выслал согласно приложения 3

[V_Bond]

присланный файл чистый ...

[asp1r1n]

присланный файл чистый ...

Сегодня за время моего отсутствия КИС7 сругался на непонятный файл:

обнаружено: потенциально опасное ПО Invader Процесс: з…ґб“Їо®”зІђаґЂл«›жњ¬б“Їи¶�лўЂи·ЊлўЂ (просто куча квадратиков на этом месте)


Прикрпелю сегодняшние логи АВЗ и Джека. Если не трудно посмотрите

Ну и вообще - что-то еще нужно ли делать?

[V_Bond]

у вас установлены аутпост и кис ... это нормально работать не будет ....
инвайдер - это попытка внедрения в процесс что нормально для защитных программ ...
зловредного ничего не видно ....

[asp1r1n]

Ок спасибо за помощь

[anton_dr]

Одну строчку ещё пофиксите в hijackthis - мусор остался.

Код:

O20 - Winlogon Notify: ke32paag - C:\WINDOWS\

[asp1r1n]

Подскажите пожалуйста что за процесс сидит в КИСовском файволе под названием system (всякие svchost.exe видны что в папке виндовс они а у этого system - папка написана system, и разрешает он все входящие и исходящие УДП пакеты...

[V_Bond]

svchost.exe запущен от имени system , так запускаются службы windows

[asp1r1n]

Я убрал галочку с "систем" - все также и работает. Или она там верно стояла?

[asp1r1n]

Не могу понять че-то... В папке C:\Documents and Settings\Artyom\Local Settings\Temp\ постоянно содается файл file***.exe (вместо звезд левые цифры). Вышлю файл сейчас по приложению 3. Посмотрите плиз что за файл такой. Каспер как всегда молчит. Говорит только на попытки этого файла достучаться до ДНС сервера и куда-то еще (все это блокируется мной). однако файл уже сидит в это время в процессах и жрет нехило % загрузки ЦП. Завершаю его через дистпечер задач и удаляю из папки...

Откуда он берется вобще и что за файл? Отсылаю по приложению 3 его в архиве...

[V_Bond]

пришла пора делать новые логи .... что -то вы цепляете через дыры в системе вы ИЕ используете в качестве браузера ?

[asp1r1n]

Да, Maxthon, по сути ИЕ.
Что там с файликом?
Логи до вечера сделаю. Но сам сканил ничего не нашел.... Но скину все равно.