-
Junior Member
- Вес репутации
- 50
вирус в папке keys и файле keylog.txt
Nod32 выдает несколько раз в день уже 3 дня:
URL: besprutaness.com/knok.php.?id=system!homee...servis pack3
ip: 193.105.174.51.80
Проблема началась с того, что стали вылезать собщения езета о блокировки какого-то адреса и IP (выше), паричем в событиях или угрозах инфо об этом нет. Проверила полной проверкой cureit. НИ ОДНОГО НЕ НАШЁЛ! СВЕЖИЙ!. Потом malwarebytes нашёл 1 папку keys+1 файл keylog.txt + 201 (!!!!!!!!!!!!!!!!!!) троян в реестре. всё удалила. перезагрузила. исчез раб стол. исправила с помощью avz 9 и 16 пункта, но не с первого раза, ругался. Езет всё это время не обновлялся, на др веб, вирус инфо и т.д. не заходил. После перезагрузки раб стол появился, но перестал загружаться avz - мигает и всё. В безопасном режиме тоже, пробовала скачать предложенные на до конфах "альтернативные" avz, пробовала переименовывать - бесполезно. Всё время вылезает сообщение езета о блокировке всё того же адреса и IP. Каждый раз после перезагрузки пустой файл keylog.txt и папка keys в common files/wm на месте, файл убивается, папка нет, каждый раз опознаётся как вирус при помощи malwarebytes. На ночь поставила в безопасном режиме полное сканирование cureit - ничего не нашёл. После перезагрузки опять нет раб стола, но загрузился avz, но пункт 9 и 16 выполнить не дал. Статического маршрута к сайту антивируса не нашёл. Опять перезагрузка - езет обновился, avz опять не открывается, на вирусинфо и т.д не заходит, езет выдаёт сообщ о блокировке опять этого адреса. На данный момент имею только лог от последнего лечения malwarebytes. Помогите!!!!!!! ой, а как файл лога из malwarebytes присоединить????
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
логи по правилам сделайте, посмотрим
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
polword
я не могу зайти на вирусинфо и посмотреть правила, avz как я писала не открывается даже после переименования, скачивания полиморфной версии, в безопасном режиме и т.д. вот присоединяю сообщение езета на всякий случай
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
а также
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 50
я пока без live cd в реестр зашла - это что-то меняет?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit - C:\WINDOWS\system32\lftoyo.exe
shell - explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs пусто
-
в параметре userinit напишите C:\WINDOWS\system32\userinit.exe,
перезагрузитесь и попробуйте сделать логи
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
polword
в параметре userinit напишите C:\WINDOWS\system32\userinit.exe,
перезагрузитесь и попробуйте сделать логи
сделала. Результат 0. АВз мигает и пропадает, keylog.txt и папка keys на месте
-
Распакуйте файл run.zip в папку с AVZ. Запустите файл run.bat.
Сделайте логи AVZ по Правилам.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
AndreyKa
Распакуйте файл
run.zip в папку с AVZ. Запустите файл run.bat.
Сделайте логи AVZ по
Правилам.
ВЫ ПРОСТО СОЛНЦЕ!!!!!!!!!!!!!!!!!!!!
Я тут бьюсь и форумы читаю уже четверный день и ночь, а ваш файлик всё спас.
Итак, до того, как увидела Ваш ответ и запустила run.bat (кстати, у меня блокировалось и выход в панель управления, и соотв восстановление системы до скана в AVZ) - опять подчёркиваю - это было до скана AVZ:
из всех перечисленных везде, где можно программ смогла загрузить только combofix в безопасном режиме ( в нормальной режиме выдал ошибку, ругался, что eset работает, хотя я всё выключила). В безопасном режиме ругался, что нет консоли восстановления, пытался загрузить, но у меня в безопасном режиме инета нет даже с поддержкой сетевых драйверов (инет беспроводной через маршрутизатор).
В ходе проверки и в логе писал, что удалил кроме папки keys и файла keylog.txt ещё пару файлов. После загрузки в нормальный режим папка keys и файла keylog.txt опять на месте, остальных файлов нет. Обновился eset, сразу изолировал из system 32 файл lftoyo.exe (Win32/Spy.Shiz.Nal).
AVZ, Hijack, RSIT, GMER и т.д. по прежнему не грузятся. Ещё обнаружила, что Outlook загружается, потом выдаёт ошибку "Не удаётся запустить Micr Of Outlook. Невозможно открыть окно Outlook".
Кроме лога combofix прилагаю логи программ группы EMSISOFT (до проверки combofix).
Ещё очень странный момент. В анализаторе процессов Process Monitor от Sysinternals вылезает явный зверь monoca32.exe в автозагрузке, в других анализаторах процессов, мониторах автозагрузки, самой автозагрузке и во всём компе даже следов нет.
ТЕПЕРЬ - ПОСЛЕ загрузки и выполнения AVZ: ЗАРАБОТАЛЮ ВСЁ и ВСЕ ПРОГРАММЫ, КРОМЕ OUTLOOK (кто-то его повредил может быть).
Все логи, какие можно прилагаю.
Ещё момент: я тут от отчаяния поставила emsisoft anti-malware. кроме аналога hijack и сканнера на всякую гадость, у неё есть ещё Guard. Во время анализа AVZ я закрыла eset, а этот guard нет. Так он тоже обнаружил и изолировал из system 32 файл lftoyo.ex, который до этого отправил в карантин eset.
Посветуйте плиз, как дочистить всю гадость и вылечить outlook.
СПАСИБО ОГРОМНОЕ!!!!!
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\windows\system32\ec2dbbcf.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\v1zcyhv.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\r0ttpy5.exe','');
QuarantineFile('C:\WINDOWS\system32\lftoyo.exe','');
QuarantineFile('C:\WINDOWS\system32\51237bcf.exe','');
DeleteFileMask('c:\program files\Common Files\wm', '*.*', true);
DeleteDirectory('c:\program files\Common Files\wm');
DeleteFile('C:\WINDOWS\system32\51237bcf.exe');
DeleteFile('C:\WINDOWS\system32\lftoyo.exe');
DeleteFile('\\?\globalroot\systemroot\system32\r0ttpy5.exe');
DeleteFile('\\?\globalroot\systemroot\system32\v1zcyhv.exe');
DeleteFile('c:\windows\system32\ec2dbbcf.exe');
QuarantineFile('c:\windows\system32\config\systemprofile\Application Data\swqatk.dat','');
QuarantineFile('c:\documents and settings\NetworkService\Application Data\swqatk.dat','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
сейчас всё сделаю и пришлю. Только один вопрос: "выгрузить антивирус" - это как (пардон). Недостаточно просто в нём отключить защиту и файервол?
-
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
polword
спасибо, я так и делала. только ещё и файервол отключала
-
выполняйте скрипт и делайте логи
-
-
Junior Member
- Вес репутации
- 50
вроде всё сделала. Только вот забыла отключить восстановление. Скрипт выполнила, потом отключила восстановление и выполнила снова. прилагаю второй
-
Junior Member
- Вес репутации
- 50
забыла написать, outlook поправила командой Outlook.exe /resetnavpane
-
В логах подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\51237bcf.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38697, AVAST4: Win32:MalOb-DS [Cryp] )
-