Разное

ZaYAC-UA · Отправлено: **20:39, 25-11-2008** | #2

Вот логи

Pili · Отправлено: **09:07, 26-11-2008** | #3

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
проверьте на virustotal.com, результат сообщите
Multi Password Recovery удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys','');
 QuarantineFile('K:\wakfqg.exe','');
 QuarantineFile('K:\autorun.inf','');
 QuarantineFile('C:\Windows\system32\cftm.exe','');
 QuarantineFile('c:\windows\system32\csrcs.exe','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\Windows\system32\cftm.exe');
 DeleteFile('K:\autorun.inf');
 DeleteFile('K:\wakfqg.exe');
 DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
 DeleteService('mpr_freader');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe

Советую выполнить рекомендации по защите от автозапуска
Повторите логи.

ZaYAC-UA · Отправлено: **10:50, 26-11-2008** | #4

А чем Multi Password Recovery плох ?
Я его специально установил, что б просматривать свои логины и пароли.

Pili · Отправлено: **11:17, 26-11-2008** | #5

Цитата ZaYAC-UA:

А чем Multi Password Recovery плох ? »

mpr_freader.sys - Dangerous
mpr_freader.sys | ThreatExpert statistics
Можете удалить и после лечения заново установить, но в этом случае при повторном заражении обращайтесь на другой форум, пароли лучше держать в голове.

ZaYAC-UA · Отправлено: **13:35, 26-11-2008** | #6

C:\Windows\system32\drivers\blbdrive.sys
C:\Windows\system32\DRIVERS\ipinip.sys
Нет этих файлов почему-тоЧерез тотал комадер смотрел со включеными срытыми файлами, так как в проваднике , когда я включаю показывать скрытые , системные файлы оно через секунды опять меняется и не показует)

K:\wakfqg.exe
K:\autorun.inf
C:\Windows\system32\cftm.exe
c:\windows\system32\csrcs.exe
Так и остались на свох местах

O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
хоть и выбирал их и нажимал на них они всё равно добавляются в автозакрузку и светятся в процесах деспечера задачь.

Зделал первый лог, перезагрузился зделал второй, сделал hijackthis и смотрю, что
O4 - HKLM\..\Run: [cftm] C:\Windows\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\Windows\system32\cftm.exe
Уже нет, в деспечере весит csrcs.exe запущенно аж 2 (пользователь "систем"),
На флехе ( К:/) сколько не удаляй, всё равно создаётся wakfqg.exe и autorun.inf. Если эти файлы удалить с другого компа , они исчезнут, до того как я вставлю в свой!

Pili · Отправлено: **15:08, 26-11-2008** | #7

ZaYAC-UA, Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)?
рекомендации по защите от автозапуска - выполняли?
C:\Windows\system32\cftm.exe по логу больше не наблюдается, если есть удалите вручную, KAV с новыми базами знает зловредов, обновите базы.
Удалите Bonjour Service см. здесь или здесь
c:\program files\ups\ippon_ups.exe - проверьте на virustotal.com
Запустите AVZ через правую кн. мыши от имени администратора, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\csrcs.exe');
 SetServiceStart('mpr_freader', 4);
 QuarantineFile('c:\windows\system32\ice_time.dll','');
 DeleteFile('c:\windows\system32\csrcs.exe');
 DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
 DeleteFile('K:\autorun.inf');
 DeleteFile('K:\wakfqg.exe');
 DeleteService('mpr_freader');
 DeleteFile('c:\windows\system32\ice_time.dll');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('K:\wakfqg.exe');
 BC_DeleteFile('c:\windows\system32\csrcs.exe');
 BC_DeleteFile('K:\autorun.inf');
 BC_DeleteSvc('mpr_freader');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Скачайте и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Повторите лог virusinfo_syscheck.zip
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

ZaYAC-UA · mbam-log-2008-11-26 (15-06-01).zip

Результат проверки файла ippon_ups.exe:

Код:

Файл ippon_ups.exe получен 2008.11.26 14:40:25 (CET)
Антивирус;Версия;Обновление;Результат
AhnLab-V3;2008.11.24.3;2008.11.26;-
AntiVir;7.9.0.35;2008.11.26;-
Authentium;5.1.0.4;2008.11.26;-
Avast;4.8.1281.0;2008.11.26;-
AVG;8.0.0.199;2008.11.26;-
BitDefender;7.2;2008.11.26;-
CAT-QuickHeal;10.00;2008.11.26;-
ClamAV;0.94.1;2008.11.26;-
DrWeb;4.44.0.09170;2008.11.26;-
eSafe;7.0.17.0;2008.11.25;Suspicious File
eTrust-Vet;31.6.6228;2008.11.26;-
Ewido;4.0;2008.11.26;-
F-Prot;4.4.4.56;2008.11.25;-
F-Secure;8.0.14332.0;2008.11.26;-
Fortinet;3.117.0.0;2008.11.26;-
GData;19;2008.11.26;-
Ikarus;T3.1.1.45.0;2008.11.26;-
K7AntiVirus;7.10.533;2008.11.25;-
Kaspersky;7.0.0.125;2008.11.26;-
McAfee;5445;2008.11.25;-
McAfee+Artemis;5445;2008.11.25;-
Microsoft;1.4104;2008.11.26;-
NOD32;3642;2008.11.26;-
Norman;5.80.02;2008.11.26;-
Panda;9.0.0.4;2008.11.25;-
PCTools;4.4.2.0;2008.11.26;-
Prevx1;V2;2008.11.26;-
Rising;21.05.22.00;2008.11.26;-
SecureWeb-Gateway;6.7.6;2008.11.26;-
Sophos;4.35.0;2008.11.26;-
Sunbelt;3.1.1830.2;2008.11.26;-
Symantec;10;2008.11.26;-
TheHacker;6.3.1.1.163;2008.11.25;-
TrendMicro;8.700.0.1004;2008.11.26;PAK_Generic.001
VBA32;3.12.8.9;2008.11.26;-
ViRobot;2008.11.26.1487;2008.11.26;-
VirusBuster;4.5.11.0;2008.11.25;-

Дополнительная информация
File size: 34816 bytes
MD5...: 3f91c48822715371ca07a18530e3682f
SHA1..: 19e6515ea8f7b04d6381bd4b3f045e7034089e3a
SHA256: de49b080ff390b39b50dbfe916a19afe21fe7ae37bc008f95d726605f496c300
SHA512: ac2ac0cafdb1a087ca2a3fc0021e4e5f53f224508cdaeadba912877e53ad2827<BR>6b4001809ee3e58940ca44b82c9e4b90f3bfcb588570152aa83442ab221c9089<BR>
ssdeep: 768:Isu2sKzngv8K9KWWITv1XVXjiWGiuGlqHh:/h35KNXjiFGlqH<BR>
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification<BR>UPX compressed Win32 Executable (39.5%)<BR>Win32 EXE Yoda's Crypter (34.3%)<BR>Win32 Executable Generic (11.0%)<BR>Win32 Dynamic Link Library (generic) (9.8%)<BR>Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x418b00<BR>timedatestamp.....: 0x46e1e756 (Sat Sep 08 00:05:42 2007)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name        viradd    virsiz   rawdsiz  ntrpy  md5<BR>UPX0        0x1000   0x10000       0x0   0.00  d41d8cd98f00b204e9800998ecf8427e<BR>UPX1       0x11000    0x8000    0x7e00   7.88  cacf3759c02fc058d203bfa50c2635a1<BR>.rsrc      0x19000    0x1000     0x600   3.92  d4174098bc37532bd6821e654b4f9af4<BR><BR>( 5 imports )  <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess<BR>> ADVAPI32.dll: RegCloseKey<BR>> ole32.dll: CoInitialize<BR>> POWRPROF.dll: GetPwrCapabilities<BR>> USER32.dll: MessageBoxA<BR><BR>( 0 exports ) <BR>
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

P.S.это програма для безперебойника(вольтаж, раряд батареи,... смотреть)

Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)? - ДА

рекомендации по защите от автозапуска - выполняли? - НЕТ, но уже зделал.

Прикрепляю логи, и щас посмотрю про "Удалите Bonjour Service см. здесь или здесь", так как с начала его не заметил.

Pili · Отправлено: **08:09, 27-11-2008** | #9

В логах чисто. Проблемы ещё наблюдаются?

ZaYAC-UA · Отправлено: **18:17, 27-11-2008** | #10

Да, опера запускается с ошибками, не удатся выключить UAC защиту (хотя галачка не стоит и не получается её поставить), Аимп не хочет воспроизводить музыку ( я его переустанавливал - безтолку) ,PhotoImpact 7 запускается с ошибками! Может надо реестр востанавливать ?