Собственно, subj.
Компьютер был замечен в попытках рассылки червей/троянов по 25 порту (заблочено на сервере).
Вот логи.
Собственно, subj.
Компьютер был замечен в попытках рассылки червей/троянов по 25 порту (заблочено на сервере).
Вот логи.
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\CnsMin.dll',''); QuarantineFile('C:\WINDOWS\system32\xedifpdo.dll',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll',''); DelBHO('{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}'); DelBHO('{FD00D911-7529-4084-9946-A29F1BDF4FE5}'); DelBHO('{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}'); DelBHO('{6354ABE6-05F1-49ed-B850-E423120EC338}'); DelBHO('{5D73EE86-05F1-49ed-B850-E423120EC338}'); DelBHO('{59BC54A2-56B3-44a0-93E5-432D58746E26}'); DelBHO('{507F9113-CD77-4866-BA92-0E86DA3D0B97}'); DelBHO('{BBEEBE4F-3EDA-40F4-A0AB-87593EE49C56}'); QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist',''); QuarantineFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816',''); QuarantineFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail',''); DeleteService('khkdnd'); QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\CnsMinKP.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\ACPISYS.sys',''); QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys',''); DeleteService('00'); StopService('00'); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\services.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services'); DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\90890.sys'); DeleteFile('C:\WINDOWS\SystemRoot\System32\drivers\khkdnd.sys'); DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail'); DeleteFile('http:\adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http:\www.taobao.com/vertical/mall/pro.php?allyesPara=816'); DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist'); DeleteFile('http:\cn.widget.yahoo.com/index.htm?source=Cns'); DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg'); DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair'); DeleteFile('http:\cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Доброго дня!
Карантин:
Файл сохранён как 100408_105759_quarantine_4bbd7e77f20a2.zip
Размер файла 267070
MD5 0a1d84fe29b40589d4fbc1fa6a1df2b8
И новые логи.
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Кстати, если интересно, то сервером были заблочены попытки рассылки по следующим адресам:
64.12.90.65
64.18.4.10
64.191.203.36
65.55.37.72
69.63.176.71
74.125.148.14
205.188.155.110
209.85.211.32
Все по smtp (tcp/25).
Добавлено через 1 час 37 минут
Ребята, а продолжение будет?
Последний раз редактировалось vgm; 08.04.2010 в 13:01. Причина: Добавлено
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing) O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing) O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing) O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\System32\drivers\CnsStd.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\cnsio.dll',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll',''); DeleteService('CnsStd'); DeleteService('CnsMinKP'); DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\CnsMinKP.sys'); DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll'); DeleteFile('C:\WINDOWS\DOWNLO~1\cnsio.dll'); DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll'); DeleteFile('C:\WINDOWS\System32\drivers\CnsStd.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CnsMin'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D157330A-9EF3-49F8-9A67-4141AC41ADD4}'); BC_ImportAll; BC_DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Новый карантин:
Файл сохранён как 100408_150928_quarantine_4bbdb96845bb5.zip
Размер файла 216881
MD5 f4b421b3a756d22880378577dc5f46dd
И логи:
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Очень надеюсь, что завтра будет продолжение...
Что-то не наблюдаю активности
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('D157330A-9EF3-49F8-9A67-4141AC41ADD4'); DelCLSID('59BC54A2-56B3-44a0-93E5-432D58746E26'); QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll',''); QuarantineFile('C:\PROGRA~1\3721\helper.dll',''); DeleteFile('C:\WINDOWS\DOWNLO~1\CnsHook.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip и лог Gmer
Файл сохранён как 100409_114115_quarantine_4bbeda1b79b72.zip
Размер файла 13471
MD5 653a6edb23632d48eb5afaf066734d97
И новые логи
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmerКод:GMER.exe -del service ooqlhnsb GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb" GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb" GMER.exe -reboot
Последний раз редактировалось Шапельский Александр; 09.04.2010 в 12:42.
Значится так:
1. Выполнение bat-ника не привело ни к чему -- процесс не найден и пути не найдены
2. Новый лог GMERa сделал.
Может, мы не оттуда начали копать? IMHO, тут есть интесная папка C:\Program Files\3721\*.*, там кучка dll-ек, некоторые ссылаются на сайт (копирайтом прописан в самой библиотеке) 3721.com.
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Удалите старый bat-ник, еще раз выполните мое последние предписание.
И сделайте кроме лога Gmer, лог MBAM
Ну вот новый лог GMER и лог mbam.
В mbam-е я ничего не исправлял пока...
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Кстати, после апдейта mbam попытки рассылки прекратились...
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer
И запустите cleanup.bat. Компьютер перезагрузится.Код:GMER.exe -del service ooqlhnsb GMER.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ooqlhnsb" GMER.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ooqlhnsb" GMER.exe -reboot
Удалите в MBAMСделать новый лог gmer и лог MBAMКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bbeebe4f-3eda-40f4-a0ab-87593ee49c56} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\bhonew.bhoapp (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\bhonew.bhoapp.1 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\3721 (PUP.BitSpirit) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Зараженные папки: C:\Program Files\3721 (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\3721 (PUP.BitSpirit) -> No action taken. Зараженные файлы: C:\WINDOWS\system32\cns.exe (Adware.CnsMin) -> No action taken. C:\WINDOWS\system32\cns.dll (Adware.CnsMin) -> No action taken. C:\WINDOWS\Downloaded Program Files\cnshint.dll (Adware.CnsMin) -> No action taken. C:\WINDOWS\Downloaded Program Files\keepmain.dll (Adware.CnsMin) -> No action taken. C:\Program Files\3721\CNSMIN.DAT (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\windex.dat (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\cnsm.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\autolive.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\cns01.dat (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\autolive.ini (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\helper.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\winhex.dat (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\cns03.dat (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\patch03.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\autolvup.cab (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\patch05.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\patch06.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\autolvsw.ini (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\alliveex.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\scrblock.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\alrex.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\notifier.dll (PUP.BitSpirit) -> No action taken. C:\Program Files\3721\3721\AutoLive.dll (PUP.BitSpirit) -> No action taken. C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken. C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\syspck32.exe (Trojan.Downloader) -> No action taken.
Батник опять сообщает об отсутствии сервиса и ключей в реестре
Занимаюсь подчисткой в mbam-e...
В mbam-e все вычистил.
Сделал новый лог GMER-а. Service ooqlhnsb остался. Может его "приложить" прямо в программе, а заодно и ooqlhnsb.sys?
Последний раз редактировалось vgm; 19.04.2010 в 14:55.
Выполните скрипт
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ooqlhnsb'); QuarantineFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\ooqlhnsb.sys'); BC_ImportAll; BC_DeleteSvc('ooqlhnsb'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте лог virusinfo_syscheck.zip и лог Gmer
Уважаемый(ая) vgm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.