Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Был обнаружен Antivirus2008; при запуске IE7 страница "Threat of virus attack" (http://forum.oszone.net/showthread.php?t=121440)

alk3 30-10-2008 08:53 937757
Был обнаружен Antivirus2008; при запуске IE7 страница "Threat of virus attack"
 
Здравствуйте!

Прошу помощи в исцелении от заразы :)

Сначала Symantec Corp обнаружил Antivirus2008 и закарантинил. После чего начались проблемы при запуске IE7 - он начал выводить страницу с надписью "Insecure internet activity. Threat of virus attack". Это происходит при подключенном интернете (без него - обычный page can not be displayed).

Скан CureIt вроде добил Antivirus2008, но проблема не исчезла. Логи HJT прикрепляю. Логи AVZ создать не могу - выводится системное сообщение "program has stopped working" все время на одной и той же папке, даже если снимаю ее флажок в области поиска (скриншот прикреплен). Текст ошибки
читать дальше »


Problem signature:
Problem Event Name: APPCRASH
Application Name: avz.exe
Application Version: 4.28.0.66
Application Timestamp: 2a425e19
Fault Module Name: StackHash_4596
Fault Module Version: 0.0.0.0
Fault Module Timestamp: 00000000
Exception Code: c0000005
Exception Offset: 73616c63
OS Version: 6.0.6001.2.1.0.256.1
Locale ID: 1033
Additional Information 1: 4596
Additional Information 2: dc9e67f6af358ef402e85476512bd88a
Additional Information 3: 319f
Additional Information 4: 9415107f7188cb0a1d8c61ff31154211

В безопасном режиме она просто закрывается.

Надеюсь на вашу помощь!
Спасибо за внимание к моей проблеме.

Pili 30-10-2008 10:02 937822
alk3, Здравствуйте!

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

Если после этого нормальная версия AVZ не запустится, скачайте эту версию AVZ попробуйте сделать логи.

Vadikan 30-10-2008 19:25 938326
Pili, а Combofix с Vista работает? Просто все эти инструкции по поводу консоли восстановления мимо цели - ее же нет в Vista. В инструкции там одно упоминание
Цитата:
Windows Vista users can use their Windows DVD to boot up into the Vista Recovery Environment.
Но оно к самой инструкции отношения не имеет, как я понимаю. Ведь Combofix запускается в рабочей среде Windows.

iskander-k 30-10-2008 19:53 938348
И поменяйте Symantec на другой антивирус.
P.S. Касперский уже знает этот вирус, вернее, большей частью, его последствия (троянские программы).

Просмотрите весь раздел "Лечение систем от вредоносных программ" - Antivirus2008-- не раз уже обсуждался , обсуждались также и борьба с ним, удаление, и зачистка в ручную.

Pili 30-10-2008 19:57 938352
Vadikan, да, Combofix с Vista работает - недавно была тема [решено] Как разблокировть доступ к антивирусным сайтам...
А так - у меня шаблон (по логу HJT сразу и не заметил, что ОС Vista), пользователи Vista могут (ссылка в инструкции how-to-use-combofix есть) воспользоваться инструкциями Vista Recovery Environment и How to automatically repair Windows Vista using Startup Repair и ещё есть тут, инструкции к сожалению на англ.яз., но вообще установку консоли можно пропустить, консоль восстановления нужна, если после работы ComboFix система не будет загружаться, таких случаев ещё не замечал, на geekstogo.com по крайней мере, если они есть, то крайне редкие. В общем отредактировал пост - убрал по этой теме установку консоли восстановления :)

iskander-k, не все так богаты, чтобы переходить так просто от одного антивируса к другому, кроме того проверка с помощью AVPTool рекомендуется в правилах.

Vadikan 30-10-2008 20:20 938370
Pili, понятно, спасибо за разъяснения.
Цитата:
Цитата Pili
консоль восстановления нужна, если после работы ComboFix система не будет загружаться »
Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.

Цитата:
Цитата iskander-k
И поменяйте Symantec на другой антивирус.
P.S. Касперский уже знает этот вирус, »
Ну так Symantec тоже узнал - см. первый пост. Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере.

iskander-k 30-10-2008 20:33 938383
Цитата:
Цитата Vadikan
Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере. »
Совершенно верно и + куча троянцев в System32, Antivirus2008 тащит.

Pili 30-10-2008 21:09 938422
Цитата:
Цитата Vadikan
Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.»
Не тестировал, но читал:) В System Recovery Options Vista много чего есть, на всякий случай там есть ещё стандартная коммандная строка How to use the Command Prompt in the Vista Windows Recovery Environment
О консоли восстановления я говорил в общем случае, пользователей с ОС Vista, обращающихся в этот раздел, пока не много (косвенно может говорить о том что Vista более безопасна при установке по умолчанию, но м.б. просто пользователей меньше или... зловредов) :)
Сами строчки со зловредами (напр. wfexqnrp.dll - точно знаю, что MBAM знает его) уже видны по логу HJT, можно и пофиксить, но надо удалить сами файлы, почистить реестр, плюс логи combofix и AVZ позволят ещё что-нибудь увидеть, кроме того что на поверхности... В общем логи ждемс... :)

alk3 31-10-2008 05:36 938670
Pili,

Спасибо за быстрый ответ. Логи которые вы просили прикреплены к этому сообщению.

Вот логи от Malwarebytes' Anti-Malware

Код:
Malwarebytes' Anti-Malware 1.30
Database version: 1340
Windows 6.0.6001 Service Pack 1

10/30/2008 10:56:52 AM
mbam-log-2008-10-30 (10-56-52).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 208373
Time elapsed: 1 hour(s), 11 minute(s), 4 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 14
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 15

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\pnphon.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{10026069-7a5f-4531-811e-c8df20643bee} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e58dfe1-d27c-4cf0-bfef-539a63c0bece} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db3db4d7-b8f4-4097-80a6-a2e93d08c92d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\poals (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ed5288-f558-4f6e-8d5c-740cb6f89029} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TotalSecure2009 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bfba (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bten (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wfexqnrp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wvbegpqs (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Windows\System32\sysbase32.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\wfexqnrp.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00001.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00002.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00003.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00004.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00005.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00006.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00007.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00008.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00009.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00010.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00011.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
D:\Downloads\Minitab\MINITAB 15.1 Keygen by CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\k.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Спасибо за внимание к моей проблеме.

Pili 31-10-2008 11:16 938837
Проверьте на virustotal.com файлы
Цитата:
C:\Windows\System32\netapi32(30).dll
C:\Program Files\Dude\dude.exe
результат выложите в следующее сообщение.
Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
C:\wvbegpqs.dll
C:\Windows\System32\Setup_ver1.1674.0.exe
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
Folder::
C:\Program Files\TS-2009\
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в следующее сообщение

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

alk3 31-10-2008 17:39 939176
Pili,

Спасибо за помошь
Цитата:
Цитата Pili
Проверьте на virustotal.com файлы
Цитата:
C:\Windows\System32\netapi32(30).dll
C:\Program Files\Dude\dude.exe »
http://www.virustotal.com/analisis/a...8a967a7a52358a
http://www.virustotal.com/analisis/2...0a63a6d5c8a4d2


Логи прикреплены к этому сообщению.

Спасибо за внимание к моей проблеме.

Pili 31-10-2008 18:43 939249
alk3,На virustotal проверили netapi32.dll, он естественно чист, а файл C:\Windows\System32\netapi32(30).dll не нашли?
По логам combofix он есть.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
O20 - AppInit_DLLs: iwwdcv.dll
Удалите LimeWire - C:\PROGRA~1\LimeWire\ - см. здесь

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Если netapi32(30).dll окажется чистым, то в логах больше зловредов не видно.
В AVZ выполните скрипт
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
И повторите логи virusinfo_syscheck.zip и hijackthis для контроля

alk3 31-10-2008 21:53 939394
Pili,
Цитата:
Цитата Pili
а файл C:\Windows\System32\netapi32(30).dll не нашли? »
http://www.virustotal.com/analisis/0...d7b56dbf476de7



Спасибо

Pili 31-10-2008 22:32 939429
alk3, логи чистые. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите Clean up
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов.
Как себя чувствует компьютер?

alk3 01-11-2008 06:49 939633
Pili,

Цитата:
Цитата Pili
Как себя чувствует компьютер? »

компьютер чуствует себя лучьше. Спасибо вам за помощь

Pili 01-11-2008 08:22 939661
Рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.
Чистого вам интернета!


Время: 07:24.

Время: 07:24.
© OSzone.net 2001-