-
Junior Member
- Вес репутации
- 57
Дочистка системы после самолечения
Поймал вчера мыша, z-connect (он же i-connect) называется: ни с того ни с сего стало у меня соединение с нэтом пропадать каждые пару минут, а с мобилы (я через GPRS сидел) вызов на странный номер попытался пройти. Да и фаервол сказал, что кто-то с компа хочет в инет вылезти. Полез я в сетевое окружение, а там какие-то странное соединение появилось - z-connect. Антивирусы (AVG и AVZ) со свежими базами ничего не видят.
Полез я по сайтам, почитал. Говорят BackDoor.Poison.767 или Win32/Dialer.NGB. Решил попробовать разобраться собственными силами.
Вычислил с помощью Диспетчера процессов этого гада (я все эти процессы в лицо знаю! ;-)))) и отключил. Потом посмотрел что у меня прописалось в автозагрузке. Убил лишний путь и программулину, которую он засунул аж в system32. Потом прошелся по корням дисков. В системном нашел абракадабру в корне успешно маскирующуюся под AI и заархивировал - для опытов. Первоисточник убил.
На флешке нашел авторун и исполняемые файлы в RECYCLER - уничтожил. Почистил RECYCLER на остальных дисках. Удалил временные файлы, почистил корзину и реестр.
Вроде бы все проявления пропали. Но не знаю - может быть что-то упустил? Прикрепляю логи, жду совета от хэлперов...
З.Ы.: Один мегабайт у меня - в районе 2 рублей, поэтому не все могу приложить...Может что забыл отключить...
Последний раз редактировалось Алексей Дёменко; 29.08.2009 в 14:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\dropcpyr.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\Secrun.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам.
Зверька отсюда удалить, а загружать через карантин AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Выполнил. Весь карантин занимает 160 метров, заподозренные им файлы 78 метров (кстати, странные у него вкусы...), поэтому я вручную выделил те, что мне лично незнакомы и отправил.
Не понял как загрузить зверька...
-
Поиск по диску в AVZ. Если найдется, то добавить в карантин. Далее все стандартно. Можно его отдельным файлом послать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Файл с карантинными сохранён как 090825_145100_virus_4a93c2145e0b1.zip
Размер файла 1848473
MD5 afabdaf05dc1f97b6a583db36a07b237
А зверек у меня в 7z запакован. Его распаковать что ли?
-
Сообщение от
Алексей Дёменко
Его распаковать что ли?
Желатльно распаковать и прислать по правилам: АВЗ/Сервис/Поиск файла, найти, отметить, нажать Доабвить в карантин, потом по приложению 3 правил - так получится автоматически правильно и с паролем.
-
-
Junior Member
- Вес репутации
- 57
Вирус я вроде бы как все же удалил, а остатки AVZ подчистил. Прикрепляю новые логи. Зверька отправил как полагается. Приложил к нему еще драйвер от скринсервера, который меня подозрительно много раз выбрасывал в синий экран. Мож тоже вирус какой...
Надеюсь AVZ впредь будет самостоятельно находить и уничтожать подобный вирус)
Последний раз редактировалось Алексей Дёменко; 29.08.2009 в 14:23.
-
Сообщение от
Алексей Дёменко
Надеюсь AVZ впредь будет самостоятельно находить и уничтожать подобный вирус)
Такого не будет никогда: АВЗ не явлется антивирусной программой
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Secrun.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\w_w161.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\Secrun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Соединений новых более не появляется, но на флешках в папке RECYCLER появляется вирусный файл+авторуны в корне. Есть подозрение, что это из-за некоего файла LBTWiz.exe который поселился в папке WINDOWS\system32\drivers\ и прописался в автозагрузке. Когда я его отрубаю - на флешках вирус можно удалить и он не появляется снова. И вроде бы он рвался в инет, когда произошло заражение..Хотя вроде бы он определяется как имеющий отношение к блютусу
Хотя антивирусы этот файл не видят. На всякий случай выпнул его из автозагрузки и отослал вам как положено.
Что с ним делать? Уничтожить или пусть живет?
З.Ы.: Логи прикрепляю
Последний раз редактировалось Алексей Дёменко; 29.08.2009 в 14:24.
-
C:\WINDOWS\system32\drivers\LBTWiz.exe - Net-Worm.Win32.Kolab.drc
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\LBTWiz.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сделал все как вы сказали. Запустил скрипт, перезагрузился. Потом проверил систему двумя антивирусами, все найденое подчистил, удалил кэши, темпы, куки и прочий мусор, очистил корзину. Затем сделал логи, прилагаю.
Кроме того, AVZ несколько раз уже подозревает файл InstActivation.dll, лежащий в папке Program Files\InterVideo\Common\Bin\ как вирус Hoax.Win32.Renos.dp. Отправил его по инструкции. Удалять или оставить?
Последний раз редактировалось Алексей Дёменко; 29.08.2009 в 14:26.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\87012QDW\xx9[1].exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\A6W5G2NS\g[1].exe','');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Сделайте лог MBAM.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
По присланному файлу вердикта пока нет.
-
-
Junior Member
- Вес репутации
- 57
Видимо вирус очень устойчив к лечению...
Выполнил все, что вы сказали. После чистки еще пять часов проверял все диски программой AVG на всякий случай.
Отправил карантин, прикрепив к нему еще подозрительный файл Crypserv.exe из C:\WINDOWS\system32\ Отправил отдельно, потому что в карантин он не захотел. Пароль virus
З.Ы.: BlogMygorod.exe о котором говорится в отчете mbam - это прога, которая у меня уже года три и к вирусу этому она отношения иметь не может))
Последний раз редактировалось Алексей Дёменко; 29.08.2009 в 14:27.
-
Файл чистый. В логах ничего подозрительного.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Проблема вроде бы нейтрализована, хотя точно не уверен.. По крайней мере разрыва соединения с созданием нового не происходит. Флешки вроде тоже не заражаются.
Единственный вопрос: на всех дисках в корзине (RECYCLER) в папке с рандомным названием постоянно лежит два файла - desktop.ini и INFO2 (хотя корзина пуста). Это нормально? На всякий случай добавил их в карантин и отослал вам по ссылке. Если они в порядке - значит, наверное, все вылечено..
Дополнительно еще скачал свежий Dr. Web CureIt! он нашел и удалил вирус Trojan.DownLoad.42422 в \WINDOWS\system32 - выполнимый файл с названием i.
-
Дополнительно еще скачал свежий Dr. Web CureIt! он нашел и удалил вирус Trojan.DownLoad.42422 в \WINDOWS\system32 - выполнимый файл с названием i.
Это вполне закономерно, дочистил остатки.
-
-
Junior Member
- Вес репутации
- 57
Ну раз все ОК, значит вылечено.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 7
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\рабочий стол\t9d2a1l6q2e1\t9d2a1l6q2e1.exe - Trojan.Win32.VB.uqp ( DrWEB: Dialer.Siggen.121, BitDefender: Trojan.Generic.2325320, AVAST4: Win32:Dialer-gen [Trj] )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\a6w5g2ns\g[1].exe - Net-Worm.Win32.Kolab.drc ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\87012qdw\xx9[1].exe - Net-Worm.Win32.Kolab.drb ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Generic.2322145, NOD32: Win32/AutoRun.IRCBot.BZ worm, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\drivers\lbtwiz.exe - Net-Worm.Win32.Kolab.drc ( DrWEB: BackDoor.IRC.Bot.132, BitDefender: Trojan.Kolab.C, NOD32: Win32/AutoRun.IRCBot.CA worm, AVAST4: Win32:Trojan-gen {Other} )
-