Показано с 1 по 18 из 18.

вирус в папке keys и файле keylog.txt (заявка № 85860)

  1. #1
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50

    Exclamation вирус в папке keys и файле keylog.txt

    Nod32 выдает несколько раз в день уже 3 дня:
    URL: besprutaness.com/knok.php.?id=system!homee...servis pack3
    ip: 193.105.174.51.80

    Проблема началась с того, что стали вылезать собщения езета о блокировки какого-то адреса и IP (выше), паричем в событиях или угрозах инфо об этом нет. Проверила полной проверкой cureit. НИ ОДНОГО НЕ НАШЁЛ! СВЕЖИЙ!. Потом malwarebytes нашёл 1 папку keys+1 файл keylog.txt + 201 (!!!!!!!!!!!!!!!!!!) троян в реестре. всё удалила. перезагрузила. исчез раб стол. исправила с помощью avz 9 и 16 пункта, но не с первого раза, ругался. Езет всё это время не обновлялся, на др веб, вирус инфо и т.д. не заходил. После перезагрузки раб стол появился, но перестал загружаться avz - мигает и всё. В безопасном режиме тоже, пробовала скачать предложенные на до конфах "альтернативные" avz, пробовала переименовывать - бесполезно. Всё время вылезает сообщение езета о блокировке всё того же адреса и IP. Каждый раз после перезагрузки пустой файл keylog.txt и папка keys в common files/wm на месте, файл убивается, папка нет, каждый раз опознаётся как вирус при помощи malwarebytes. На ночь поставила в безопасном режиме полное сканирование cureit - ничего не нашёл. После перезагрузки опять нет раб стола, но загрузился avz, но пункт 9 и 16 выполнить не дал. Статического маршрута к сайту антивируса не нашёл. Опять перезагрузка - езет обновился, avz опять не открывается, на вирусинфо и т.д не заходит, езет выдаёт сообщ о блокировке опять этого адреса. На данный момент имею только лог от последнего лечения malwarebytes. Помогите!!!!!!! ой, а как файл лога из malwarebytes присоединить????

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    логи по правилам сделайте, посмотрим

  4. #3
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    Цитата Сообщение от polword Посмотреть сообщение
    логи по правилам сделайте, посмотрим
    я не могу зайти на вирусинфо и посмотреть правила, avz как я писала не открывается даже после переименования, скачивания полиморфной версии, в безопасном режиме и т.д. вот присоединяю сообщение езета на всякий случай

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
    2.Загрузитесь с этого диска.
    3.Кнопка Пуск - Выполнить - erdregedit
    4.Посмотрите в реестре:
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    параметр
    shell
    а также
    ветка
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    AppInit_DLLs
    Содержимое этих параметров напишите в своем сообщении

  6. #5
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    я пока без live cd в реестр зашла - это что-то меняет?
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    userinit - C:\WINDOWS\system32\lftoyo.exe
    shell - explorer.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    AppInit_DLLs пусто

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    в параметре userinit напишите C:\WINDOWS\system32\userinit.exe,
    перезагрузитесь и попробуйте сделать логи

  8. #7
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    Цитата Сообщение от polword Посмотреть сообщение
    в параметре userinit напишите C:\WINDOWS\system32\userinit.exe,
    перезагрузитесь и попробуйте сделать логи
    сделала. Результат 0. АВз мигает и пропадает, keylog.txt и папка keys на месте

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Распакуйте файл run.zip в папку с AVZ. Запустите файл run.bat.
    Сделайте логи AVZ по Правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Распакуйте файл run.zip в папку с AVZ. Запустите файл run.bat.
    Сделайте логи AVZ по Правилам.
    ВЫ ПРОСТО СОЛНЦЕ!!!!!!!!!!!!!!!!!!!!
    Я тут бьюсь и форумы читаю уже четверный день и ночь, а ваш файлик всё спас.
    Итак, до того, как увидела Ваш ответ и запустила run.bat (кстати, у меня блокировалось и выход в панель управления, и соотв восстановление системы до скана в AVZ) - опять подчёркиваю - это было до скана AVZ:
    из всех перечисленных везде, где можно программ смогла загрузить только combofix в безопасном режиме ( в нормальной режиме выдал ошибку, ругался, что eset работает, хотя я всё выключила). В безопасном режиме ругался, что нет консоли восстановления, пытался загрузить, но у меня в безопасном режиме инета нет даже с поддержкой сетевых драйверов (инет беспроводной через маршрутизатор).
    В ходе проверки и в логе писал, что удалил кроме папки keys и файла keylog.txt ещё пару файлов. После загрузки в нормальный режим папка keys и файла keylog.txt опять на месте, остальных файлов нет. Обновился eset, сразу изолировал из system 32 файл lftoyo.exe (Win32/Spy.Shiz.Nal).
    AVZ, Hijack, RSIT, GMER и т.д. по прежнему не грузятся. Ещё обнаружила, что Outlook загружается, потом выдаёт ошибку "Не удаётся запустить Micr Of Outlook. Невозможно открыть окно Outlook".
    Кроме лога combofix прилагаю логи программ группы EMSISOFT (до проверки combofix).
    Ещё очень странный момент. В анализаторе процессов Process Monitor от Sysinternals вылезает явный зверь monoca32.exe в автозагрузке, в других анализаторах процессов, мониторах автозагрузки, самой автозагрузке и во всём компе даже следов нет.

    ТЕПЕРЬ - ПОСЛЕ загрузки и выполнения AVZ: ЗАРАБОТАЛЮ ВСЁ и ВСЕ ПРОГРАММЫ, КРОМЕ OUTLOOK (кто-то его повредил может быть).
    Все логи, какие можно прилагаю.

    Ещё момент: я тут от отчаяния поставила emsisoft anti-malware. кроме аналога hijack и сканнера на всякую гадость, у неё есть ещё Guard. Во время анализа AVZ я закрыла eset, а этот guard нет. Так он тоже обнаружил и изолировал из system 32 файл lftoyo.ex, который до этого отправил в карантин eset.

    Посветуйте плиз, как дочистить всю гадость и вылечить outlook.

    СПАСИБО ОГРОМНОЕ!!!!!

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('c:\windows\system32\ec2dbbcf.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\v1zcyhv.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\r0ttpy5.exe','');
     QuarantineFile('C:\WINDOWS\system32\lftoyo.exe','');
     QuarantineFile('C:\WINDOWS\system32\51237bcf.exe','');
     DeleteFileMask('c:\program files\Common Files\wm', '*.*', true);
     DeleteDirectory('c:\program files\Common Files\wm');
     DeleteFile('C:\WINDOWS\system32\51237bcf.exe');
     DeleteFile('C:\WINDOWS\system32\lftoyo.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\r0ttpy5.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\v1zcyhv.exe');
     DeleteFile('c:\windows\system32\ec2dbbcf.exe');
     QuarantineFile('c:\windows\system32\config\systemprofile\Application Data\swqatk.dat','');
     QuarantineFile('c:\documents and settings\NetworkService\Application Data\swqatk.dat','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  12. #11
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    сейчас всё сделаю и пришлю. Только один вопрос: "выгрузить антивирус" - это как (пардон). Недостаточно просто в нём отключить защиту и файервол?

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550

  14. #13
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    Цитата Сообщение от polword Посмотреть сообщение
    спасибо, я так и делала. только ещё и файервол отключала

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    выполняйте скрипт и делайте логи

  16. #15
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    вроде всё сделала. Только вот забыла отключить восстановление. Скрипт выполнила, потом отключила восстановление и выполнила снова. прилагаю второй

  17. #16
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    9
    Вес репутации
    50
    забыла написать, outlook поправила командой Outlook.exe /resetnavpane

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    В логах подозрительного нет.

    Обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\51237bcf.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38697, AVAST4: Win32:MalOb-DS [Cryp] )


  • Уважаемый(ая) alina13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус в файле autorun.inf
      От Nikko в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.06.2009, 15:16
    2. вирус в файле ftpdll.dll
      От DaniElse в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:41
    3. Вирус в файле wmdrtc32.dll
      От romeo1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.10.2008, 23:24
    4. Ответов: 15
      Последнее сообщение: 20.12.2007, 12:30
    5. Keylog-sters на всех ресурсах Яндекса?!
      От NightKnight в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 12.03.2007, 11:27

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01149 seconds with 19 queries