Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

reader_s.exe, msdrive32.exe, трояны (заявка № 53185)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31

    Thumbs up reader_s.exe, msdrive32.exe, трояны

    Имеются reader_s.exe, msdrive32.exe, возможно, ещё гадости, сами по себе запускаются непонятные .exe (703.exe - цифры разные, меняются), .tmp (В3.tmp и т.д.), нахождение и удаление в папках и реестре ни к чему не приводит - после запуска всё опять "на месте", также имеется куча svchost.exe (на данный момент запущено 13).

    Зайти на сайты о лечении / удалении этого добра невозможно, сайты антивирусов блокированы, на Ваш сайт удаётся зайти только через http://216.246.91.178/~virusinf - через virusinfo.info тоже никак. Установить антивирусы с диска никак - просто ничего не происходит, в "лучшем" случае программа зависнет при инсталяции.

    По инструкции в Правилах стянула и проверила AVPtool - найдено 1402 зараженных файлов - сплошные .ехе, включая даже сам avptool, после проверки часть файлов вылечена, что-то в каратине, что-то удалено, по утверждению программы вылечены / карантине / удалены все найденные поражженные файлы.

    AVZ, стянутую по ссылке в Ваших Правилах, сначала поставить не удалось - требовалось rundll32.exe, пришлось искать и скачивать, после этого программа установилась. Скриптов на выбор было 6:
    1 Detect and block UserMode and KernelMode hooks
    2 Advanced System Analysis
    3 Advanced System Analysis with malware removal mode enabled
    4 Collecting not recognized and suspicious files (с этим скриптом я и сделала логи, если неправильно, напишите, пожалуйста, с каким надо)
    5 Update signature database
    6 Delete all AVZ drivers and registry keys
    Логи весят более 11МВ каждый, называются иначе, программа вообще логи проверки без инета потом сложила туда же, куда и логи проверки с подключенным интернетом, пришлось сделать по второму разу. Как в данном случае сделать правильные логи?

    С программой HiJackThis проблем не возникло. Лог прилагаю.

    Заранее спасибо за помощь!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от freeze Посмотреть сообщение
    Как в данном случае сделать правильные логи?
    Выполнить скрипты 2 и 3
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от freeze Посмотреть сообщение
    Логи весят более 11МВ каждый, называются иначе
    Если называются иначе, то это не логи

    Чтобы запустить AVZ с русским интерфейсом надо в командной строке указать параметр: lang=RU

    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
     DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
     QuarantineFile('E:\WINDOWS\System32\reader_s.exe','');
     DeleteFile('E:\WINDOWS\System32\reader_s.exe');
     QuarantineFile('E:\WINDOWS\system32\B.tmp.exe','');
     DeleteFile('E:\WINDOWS\system32\B.tmp.exe');
     QuarantineFile('E:\WINDOWS\system32\regedit.exe','');
     DeleteFile('E:\WINDOWS\system32\regedit.exe');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe');
     QuarantineFile('E:\WINDOWS\msdrive32.exe','');
     DeleteFile('E:\WINDOWS\msdrive32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте логи AVZ и приложите к этой теме.

    Прочтите: http://virusinfo.info/showpost.php?p=386579&postcount=1

  5. #4
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Скрипт выполнила, программа сообщила об успешном исполнении, reader_s вроде пока не появился, msdrive32 снова висит в процессах. .tmp и .exe появляются только при подключенном интернете, их названия постоянно меняются.

    Про svchost.ехе - ту тему просмотрела, в regedit не попасть, видимо, попал "под раздачу" Касперского при той проверке. Эти svchost, кстати, тоже активно множатся только при подключенном интернете.

    Ссылки "Прислать запрошенный карантин" у меня нет вообще
    UPD: Нашла, архив virus.zip отослан.

    Логи прилагаю, включая свежий HiJack.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    >>>> Danger - the avz.exe file has been modified: its current CRC is not listed in Trusted Objects Database
    У вас поражение файловым вирусом.
    Рекомендации по лечению тут:
    http://virusinfo.info/showthread.php?t=15927.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    По указанной ссылке использовала сначала указанный там CureIt (нашел 10 "вредностей", 6 вылечил, 4 удалил).

    После него применила метод Live CD Vba32 Rescue.

    msdrive.exe в процессах пока не появился, количество svchost.exe - 9 штук на данный момент, по этой части уже давали совет, но, повторюсь, regedit, равно как и многое другое, exe-шное, не работает. В данном случае мне потом надо будет переустановить просто ОС?

    Свежие логи, на всякий случай включая тот от vba, прилагаю.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    O4 - HKLM\..\Run: [5370] E:\WINDOWS\system32\2C.tmp.exe
    O4 - HKLM\..\Run: [Regedit32] E:\WINDOWS\system32\regedit.exe
    O4 - HKLM\..\Run: [reader_s] E:\WINDOWS\System32\reader_s.exe
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     StopService('glaide32');
     StopService('kbiwkmlewiordq');
     QuarantineFile('E:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe','');
     QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
     QuarantineFile('E:\WINDOWS\system32\drivers\glaide32.sys','');
     DeleteFile('E:\WINDOWS\system32\drivers\glaide32.sys');
     DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
     DeleteFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe');
     DeleteService('glaide32');
     DeleteService('kbiwkmlewiordq');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('glaide32');
    BC_DeleteSvc('kbiwkmlewiordq');
    ExecuteRepair(17);
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Файл E:\WINDOWS\system32\userinit.exe замените на чистый: http://virusinfo.info/showthread.php?t=51654.
    - Сделайте лог GMER.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 29.08.2009 в 22:10. Причина: спс. thyrex

  9. #8
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Все пункты в точности исполнила, userinit.exe заменён без проблем со здорового компьютера с идентичной инсталяцией (с тех же дисков).

    Запрошенный карантин отослала, логи прилагаю.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteRepair(1);
     DelBHO('{D88E1558-7C2D-407A-953A-C044F5607CEA}');
    QuarantineFile('kbiwkmwsp.dll','');
    QuarantineFile('\systemroot\system32\kbiwkmtuidmtta.dll','');
    DeleteFile('\systemroot\system32\kbiwkmtuidmtta.dll');
    QuarantineFile('\systemroot\system32\kbiwkmopjpissq.dll','');
    DeleteFile('\systemroot\system32\kbiwkmopjpissq.dll');
     QuarantineFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys','');
     DeleteFile('\systemroot\system32\drivers\kbiwkmjomqpxev.sys');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

  11. #10
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Скрипт выполнен, карантин отослан, лог внизу.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    - Повторите лог GMER.

    Добавлено через 3 минуты

    -Выполните скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
      QuarantineFile('E:\WINDOWS\system32\Drivers\NDIS.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Файл E:\WINDOWS\system32\Drivers\NDIS.sys замените на чистый: http://virusinfo.info/showthread.php?t=51654.
    Последний раз редактировалось Rene-gad; 30.08.2009 в 19:14. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Лог GMER прилагаю, скрипт выполнен.

    Файл заменить не удалось - при копировании выскакивает табличка типа "нет доступа", с BartPE ничего не вышло (делаю всё чётко по указаниям на сайте - после проверки всех дисков появляется инфо, что найдено 0 подходящих источников), knoppix пробовала - или я чего-то не понимаю и не нашла, или в версии для cd (dvd использовать не могу) нужного нет (или, повторюсь, я просто что-то не так делаю). nLite - получается сделать только с инсталяционного диска, т.е. без SP 1+2.
    Вложения Вложения
    • Тип файла: log gmer.log (6.5 Кб, 2 просмотров)

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys','');
    DeleteFile('e:\windows\system32\drivers\kbiwkmjomqpxev.sys');
    QuarantineFile('e:\windows\system32\kbiwkmopjpissq.dll','');
    DeleteFile('e:\windows\system32\kbiwkmopjpissq.dll');
    QuarantineFile('e:\windows\system32\kbiwkmtuidmtta.dll','');
    DeleteFile('e:\windows\system32\kbiwkmtuidmtta.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service kbiwkmlewiordq
    gmer.exe -del file "e:\windows\system32\drivers\kbiwkmjomqpxev.sys"
    gmer.exe -del file "e:\windows\system32\kbiwkmopjpissq.dll"
    gmer.exe -del file "e:\windows\system32\kbiwkmwqbdfour.dat"
    gmer.exe -del file "e:\windows\system32\kbiwkmtuidmtta.dll"
    gmer.exe -del file "e:\windows\system32\kbiwkmbfwbxrmt.dat"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmlewiordq"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmlewiordq"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer

    Замена файлов с помощью LiveCD подразумевает, что у Вас есть оригинальная копия файла, который Вас просят заменить
    В логах есть файл E:\WINDOWS\$NtServicePackUninstall$\ndis.sys
    Проверьте его на virustotal
    Ссылку на результат проверки сообщите
    Последний раз редактировалось thyrex; 31.08.2009 в 00:31.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Скрипт выполнен. Файл карантина отправлен.

    cleanup.bat выполнен - у 4 файлов из (3-6 строчки) выскочила ошибка "файл не найден". Лог прилагаю.

    Проверка указанного файла на virustotal - результат тут
    Вложения Вложения
    • Тип файла: log gmer.log (1.6 Кб, 4 просмотров)

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Лог gmer чист.
    А вот проверенный файл возможно поврежден. Придется:
    1. Или Вам самостоятельно добывать его для SP2;
    2. Или надеяться, что кто-то из хэлперов Вам его предоставит;
    3. Или установите SP3 (может потребоваться активация) + все новые заплатки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Файл ndis.sys у меня есть - с чистого компьютера с той же системой и теми же SP 1 + 2, просто не удаётся его заменить - выдает табличку "нет доступа".
    SP3 поставить не удалось - из-за этого файла как раз, выдаёт ошибку, что "файл открыт или используется другой программой" (c:/windows/system32/drivers/ndis.sys), хотя всё выключено.
    Последний раз редактировалось freeze; 31.08.2009 в 12:38.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от freeze Посмотреть сообщение
    просто не удаётся его заменить - выдает табличку "нет доступа".
    Заменять не надо. Надо переименовать и на его место записать чистый.

  19. #18
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Переименовать тоже не удаётся - выдаёт ту же ошибку, что нет доступа, при попытке переименовать через total commander пишет: please remove the file protection, при опции as administrator тоже ничего не получается - просит логин (и есть administrator), пароль (пароля нет, просто кликаю ОК), после этого табличка access denied. (Заранее оговорюсь, что если что - пароль не поставить, в Панели управления хоть и есть значок Учетных записей, но ничего не открывается...)

    Почему-то вскоре после отправки этого сообщения перестал работать интернет - помогло аж новое инсталирования драйверов.
    Последний раз редактировалось freeze; 31.08.2009 в 13:26. Причина: Добавлено

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Удалите файл
    c:/windows/system32/drivers/ndis.sys
    через Отложенное удаление в AVZ. Переключатель режима удаления поставьте на Удаление фалов.
    После перезагрузки запишите здоровый ndis.sys в папку c:/windows/system32/drivers и перезагрузите компьютер.

  21. #20
    Junior Member Репутация
    Регистрация
    28.08.2009
    Сообщений
    25
    Вес репутации
    31
    Не удаляется. Делаю, как Вы написали (только я ошиблась, когда адрес прописывала в прошлом сообщении - не С, а Е, на С ничего системного нет, всё на Е, посему адрес ниже исправлен), появляется текст:
    Delayed File Deleting E:/windows/system32/drivers/ndis.sys
    >>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
    >>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required

    Перезагружаю компьютер, файл где был, там и есть.

  • Уважаемый(ая) freeze, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 50
      Последнее сообщение: 04.09.2009, 16:00
    2. Ответов: 14
      Последнее сообщение: 27.08.2009, 15:03
    3. reader_s.exe и компания
      От Glebych в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 10.07.2009, 10:44
    4. Reader_s.exe and others
      От sandman в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 27.04.2009, 13:15
    5. Как избавиться от reader_s.exe
      От vlad_1976 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.04.2009, 15:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00110 seconds with 17 queries