Показано с 1 по 18 из 18.

Вирусы не лечатся ничем. (заявка № 119361)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50

    Вирусы не лечатся ничем.

    Добрый день.
    ОС - ХР SP3, антивирус DrWeb (всё лицензия со всеми обновлениями от разработчиков ПО). С понедельника DrWeb периодически ругался на различные вирусы и перемещал их в карантин. Делал полную проверку самим антивирусом, CureIt-ом, проверял с "свежезаписанного" диска Live CD от DrWeb. В результате ничего не помагает. Сейчас то Internet Explorer не запускается, то Java выдает ошибки.
    По инструкции с Вашего сайта (из раздела диагностика) сделал следующее: AVPTool (ситуация не улучшилась), проверил с помощью AVZ (п.1 раздела диагностика) - получил два файла virusinfo_cure.zip и virusinfo_syscure.zip (последний прикрепляю). К п. 2 перейти не могу, т.к. после перезагрузки на компьютере появляется окно с надписью "Невозможно загрузить DLL xtgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку dll" далее активна только кнопка "перезагрузка". Табличка появляется и в обычном режиме загрузки и в режиме защиты системы от сбоев.
    Что дальше делать просто не знаю. Буду благодарен Вашим рекомендациям и помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) Geo_V, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Здравствуйте.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\mslejqqn.exe');
     ClearQuarantine;
     QuarantineFile('c:\windows\system32\mslejqqn.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\mpk\mpk.exe','');
     DeleteFile('c:\windows\system32\mslejqqn.exe');
     BC_DeleteSvc('Network Adapter Events');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

    Этот кейлоггер сами устанавливали?
    c:\documents and settings\all users\application data\mpk\mpk.exe
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Сразу хочу оговориться, что все действия делал в режиме защиты от сбоев без поддержки сетевых драйверов. Во всех остальных случаях компьютер просто не загружается - в конце загрузки появляется окно с информацией о поврежденном dll (см. пой первый пост).


    Цитата Сообщение от Nikkollo Посмотреть сообщение

    Выполните скрипт в AVZ
    Сделал

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Выслал

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
    Сделал но только в режиме защиты от сбоев

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Этот кейлоггер сами устанавливали?
    c:\documents and settings\all users\application data\mpk\mpk.exe
    Абсолютно точно нет.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\BeTwinServiceXP.exe','');
     DeleteFile('c:\documents and settings\all users\application data\mpk\mpk.exe');
     DeleteFileMask('c:\documents and settings\all users\application data\mpk','*.*', true);
     DeleteDirectory('c:\documents and settings\all users\application data\mpk');
     DeleteFile('C:\WINDOWS\system32\BeTwinServiceXP.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','GinaDLL');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Попробуйте загрузиться в обычном режиме.

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
    (если не получится, то сделайте в безопасном режиме).
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Скрипт выполнил. Компьютер загрузился в нормальном режиме.
    Сделал новые лог файлы. Прилагаю.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Больше подозрительного не увидел.
    Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Вроде все работае нормально. Понаблюдаю сегодня-завтра. Сейчас осталось два вопроса.
    1)
    Этот кейлоггер сами устанавливали?
    c:\documents and settings\all users\application data\mpk\mpk.exe
    что делать с самой этой папкой MPK. Что это такое не знаю. Дата создания 12.04 (когда начались проблемы с компом. Объем папки сейчас 55 мб.
    2) На компьютере часто пользуюсь флешками и периодически USB ключиком от банк клиента (ключик вставляю по необходимости, т.е. посточнно не держу в компе) так вот, перед тем как вынуть флешку делаю "Безопасное извлечение устройства" и заметил, что в списке отключаемых устройств (то в одном экземпляре, то в двух) присутствует некое устройство "USB shared device". Что это такое может быть? появляться это "устройство" стало тоже с 12.04. Комп пишет, что флешку можно вынимать только после того, как отключишь саму флешку и эти устройства.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    1) Это папка кейлоггера (клавиатурный шпион), видимо установленный зловредом. Удалите ее вручную. И смените все пароли, особенно в банковском клиенте.

    2) По логу у вас виден USB over Network Server от FabulaTech. Видимо дело в нем.
    Если сами не устанавливали,то посмотрите в Панель управления - Установка и удаление программ что-нибудь похожее. Если не получится удалить вручную, могу написать скрипт.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    1) Это папка кейлоггера (клавиатурный шпион), видимо установленный зловредом. Удалите ее вручную. И смените все пароли, особенно в банковском клиенте.
    Папку удалил. Относительно паролей тоже уже думал на эту тему.

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    2) По логу у вас виден USB over Network Server от FabulaTech. Видимо дело в нем.
    Если сами не устанавливали,то посмотрите в Панель управления - Установка и удаление программ что-нибудь похожее. Если не получится удалить вручную, могу написать скрипт.
    В Панель управления - Установка и удаление программ ничего похожего нет. Если напишите скрипт - буду благодарен.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\ftusbsrv.exe');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\drivers\ftusbload2.sys','');
     QuarantineFile('C:\WINDOWS\System32\WinSCard.dll','');
     QuarantineFile('C:\WINDOWS\system32\ftusbapi.dll','');
     QuarantineFile('c:\windows\system32\ftusbsrv.exe','');
     DeleteFile('c:\windows\system32\ftusbsrv.exe');
     DeleteFile('C:\WINDOWS\system32\ftusbapi.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ftusbload2.sys');
     BC_DeleteSvc('ftusbsrv');
     BC_DeleteSvc('ftusbload2');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Для контроля сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.

    Есть еще один файл - C:\WINDOWS\System32\WinSCard.dll
    который пока не хочу удалять, т.к. не уверен, что он относистся к этому USB over Network Server, хотя и имеет ту же дату/время. Пока просто в карантин заберем.

    И еще. Не знаю,что у вас за USB ключ от банк клиента, но похоже он теперь скомпрометирован злоумышленниками. Рекомендую обратиться в банк на предмет замены этого ключа.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
    Скрипты выполнил. Карантин прислал
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Для контроля сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
    Прилагаю

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    И еще. Не знаю,что у вас за USB ключ от банк клиента, но похоже он теперь скомпрометирован злоумышленниками. Рекомендую обратиться в банк на предмет замены этого ключа.
    Вы написали "похоже он..." Это абсолютно точно? В банке менять сам ключ или достаточно только смены пароля?
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    USB over Network Server теперь удален.
    Эти "USB shared device" при извлечении флешки исчезли?
    C:\WINDOWS\System32\WinSCard.dll в логе присутствует, отправлен в вирлаб на анализ.
    Скорей всего он легитимный.

    Пароль меняйте обязательно и чем быстрей, тем лучше.
    Абсолютно точно я ничего утверждать не могу.
    Но, судя по присутвовавшему у вас кейлоггеру и USB over Network Server, которые вы сами никогда не устанавливали, подозреваю, что кто-то хотел получить (или уже получил) ваши банковские учетные данные и копию этого банковского USB ключа. А имея все это на руках, этот кто-то может управлять вашим банковским счетом.
    На вашем месте я сменил бы и ключ, если это не очень дорого.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    USB over Network Server теперь удален.
    Эти "USB shared device" при извлечении флешки исчезли?
    Да, исчезли.
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    C:\WINDOWS\System32\WinSCard.dll в логе присутствует, отправлен в вирлаб на анализ.
    Скорей всего он легитимный.
    Хотелось бы узнать результат

    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Пароль меняйте обязательно и чем быстрей, тем лучше.
    Абсолютно точно я ничего утверждать не могу.
    Но, судя по присутвовавшему у вас кейлоггеру и USB over Network Server, которые вы сами никогда не устанавливали, подозреваю, что кто-то хотел получить (или уже получил) ваши банковские учетные данные и копию этого банковского USB ключа. А имея все это на руках, этот кто-то может управлять вашим банковским счетом.
    На вашем месте я сменил бы и ключ, если это не очень дорого.
    Завтра этим займусь. В принципе, кроме самого ключика и пароля есть еще один уровень защиты - OTP token. Кроме того пароль с OTP tokena надо вводить повторно и при подписании платежных поручений.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от Geo_V Посмотреть сообщение
    Хотелось бы узнать результат
    Проверил файл на Virustotal, детектов нет. (0 из 42).
    Файл является частью системы и удалять просто так его нельзя.
    Вирлаб может и не ответить Киберу, если они не нашли в нем зловредного. Ладно, подождем еще до завтра.
    Есть подозрения на его подмену.
    У вас Windows родной от Микрософт или какая-то сборка от умельцев?

    Цитата Сообщение от Geo_V Посмотреть сообщение
    Завтра этим займусь. В принципе, кроме самого ключика и пароля есть еще один уровень защиты - OTP token. Кроме того пароль с OTP tokena надо вводить повторно и при подписании платежных поручений.
    Тем не менее я бы на вашем месте позвонил в банк и попросил бы временно заблокировать счет (если это не доставит сильных неудобств). Есть вероятность, что до завтра можем и не успеть.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  17. #16
    Junior Member Репутация
    Регистрация
    19.09.2010
    Сообщений
    25
    Вес репутации
    50
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    У вас Windows родной от Микрософт или какая-то сборка от умельцев?
    ОС - лицензия (как и весь остальной софт) со всеми обновлениями


    Цитата Сообщение от Nikkollo Посмотреть сообщение
    Тем не менее я бы на вашем месте позвонил в банк и попросил бы временно заблокировать счет (если это не доставит сильных неудобств). Есть вероятность, что до завтра можем и не успеть.
    На этом счете денег в приницпе совсем немного , так что по этому поводу я особо не переживаю, но в банк позвонил. Завтра сам ключ поменяю. А вот пароль поменять займёт какое-то время.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    По файлу C:\WINDOWS\System32\WinSCard.dll вирлаб ничего не ответил. Значит видимо не нашли в нем ничего явно зловредного.
    Назначение этого системного файла - программный интерфейс для работы с смарт-картами.
    Но у меня остается стойкое подозрение, что его подменили с какой-то целью.
    Отпишитесь, когда получите новый ключ и разблокируете счет.
    Но пока ключ не вставляйте.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\all users\\application data\\mpk\\mpk.exe - not-a-virus:Monitor.Win32.KGBSpy.rv ( DrWEB: Program.KgbSpy.245 )
      2. c:\\windows\\system32\\mslejqqn.exe - Trojan.Win32.Yakes.acav ( DrWEB: Backdoor.Termuser.40, BitDefender: Gen:Variant.Kazy.68922, AVAST4: Win32:MalOb-KL [Trj] )


  • Уважаемый(ая) Geo_V, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не лечатся и не удаляются вирусы (заявка №42647)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 18.12.2010, 21:00
    2. Комп перестал включатся
      От Salavat90 в разделе Аппаратное обеспечение
      Ответов: 4
      Последнее сообщение: 18.11.2010, 22:10
    3. Вирусы не лечатся (заявка №22973)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 16.06.2010, 00:00
    4. Не лечатся трояны и прочие вирусы
      От Neil в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:01
    5. Ответов: 5
      Последнее сообщение: 17.08.2007, 14:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00999 seconds with 18 queries