Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Блокирует всё антивирусное (http://forum.oszone.net/showthread.php?t=184513)

Sunforger 02-09-2010 21:23 1487430
Блокирует всё антивирусное
 
Нуждаюсь в помощи. Подхватил какую-то заразу. Нод32 теперь не запускается. На сайты антивирусов тоже не заходит(кроме касперского, на него почему то смог зайти).
Авз запустить не могу - он открывается и мгновенно закрывается. Перегрузил компьютер в безопасном режиме - тоже самое. Переименовывал файл в 123.кмд/пиф/ком - не помогает. С RSIT и HijackThis тоже самое.
CureIT запустился нашёл два трояна - muldrop1 и Siggen2, но не помогло.
Помогите пожалуйста.

Arbitr 02-09-2010 21:29 1487435
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Sunforger 02-09-2010 23:03 1487494
Вот сделал. Так же прикрепляю файл который сделал в avptool, может пригодится.
На диске С у меня создалось куча папок Found - что с ними делать?

Sunforger 02-09-2010 23:24 1487507
Хочу отметить, что я нажал нет при запросе на установку консоли восстановления. Я не протупил?
Так же, как я понял в запущенных процессах у меня был нод32, хотя мне казалось, что он полетел.

Arbitr 03-09-2010 00:16 1487530
Цитата:
Цитата Sunforger
Хочу отметить, что я нажал нет при запросе на установку консоли восстановления. Я не протупил »
ничего страшного
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\cbygvc.exe
c:\windows\system32\d3a8e7dc.exe
c:\program files\Common Files\keylog.txt
c:\windows\system32\config\systemprofile\Application Data\rhjodx.dat
c:\documents and settings\LocalService\Application Data\rhjodx.dat
c:\windows\system32\config\systemprofile\Application Data\gqlidy.dat
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\documents and settings\LocalService\Application Data\gqlidy.dat
Driver::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"c:\windows\system32\d3a8e7dc.exe"=-
"c:\windows\system32\cbygvc.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"82.165.103.0,255.255.255.0,192.168.1.0,1"=-
"82.98.86.0,255.255.255.0,192.168.1.0,1"=-
"83.202.175.0,255.255.255.0,192.168.1.0,1"=-
"83.222.23.0,255.255.255.0,192.168.1.0,1"=-
"83.222.31.0,255.255.255.0,192.168.1.0,1"=-
"83.223.117.0,255.255.255.0,192.168.1.0,1"=-
"84.40.30.0,255.255.255.0,192.168.1.0,1"=-
"85.12.57.0,255.255.255.0,192.168.1.0,1"=-
"85.17.210.0,255.255.255.0,192.168.1.0,1"=-
"85.214.106.0,255.255.255.0,192.168.1.0,1"=-
"85.255.19.0,255.255.255.0,192.168.1.0,1"=-
"85.31.222.0,255.255.255.0,192.168.1.0,1"=-
"87.106.242.0,255.255.255.0,192.168.1.0,1"=-
"87.106.254.0,255.255.255.0,192.168.1.0,1"=-
"87.230.79.0,255.255.255.0,192.168.1.0,1"=-
"87.238.48.0,255.255.255.0,192.168.1.0,1"=-
"87.242.72.0,255.255.255.0,192.168.1.0,1"=-
"87.242.74.0,255.255.255.0,192.168.1.0,1"=-
"87.242.79.0,255.255.255.0,192.168.1.0,1"=-
"88.221.119.0,255.255.255.0,192.168.1.0,1"=-
"89.108.66.0,255.255.255.0,192.168.1.0,1"=-
"89.111.176.0,255.255.255.0,192.168.1.0,1"=-
"89.202.149.0,255.255.255.0,192.168.1.0,1"=-
"89.202.157.0,255.255.255.0,192.168.1.0,1"=-
"90.156.159.0,255.255.255.0,192.168.1.0,1"=-
"90.183.101.0,255.255.255.0,192.168.1.0,1"=-
"91.121.97.0,255.255.255.0,192.168.1.0,1"=-
"91.199.212.0,255.255.255.0,192.168.1.0,1"=-
"91.209.196.0,255.255.255.0,192.168.1.0,1"=-
"92.123.155.0,255.255.255.0,192.168.1.0,1"=-
"93.191.13.0,255.255.255.0,192.168.1.0,1"=-
"92.53.106.0,255.255.255.0,192.168.1.0,1"=-
"93.184.71.0,255.255.255.0,192.168.1.0,1"=-
"94.23.206.0,255.255.255.0,192.168.1.0,1"=-
"94.236.0.0,255.255.255.0,192.168.1.0,1"=-
"95.140.225.0,255.255.255.0,192.168.1.0,1"=-
"74.55.74.0,255.255.255.0,192.168.1.0,1"=-
"75.125.185.0,255.255.255.0,192.168.1.0,1"=-
"174.120.186.0,255.255.255.0,192.168.1.0,1"=-
"208.43.71.0,255.255.255.0,192.168.1.0,1"=-
"74.53.70.0,255.255.255.0,192.168.1.0,1"=-
"74.86.232.0,255.255.255.0,192.168.1.0,1"=-
"74.54.139.0,255.255.255.0,192.168.1.0,1"=-
"174.133.38.0,255.255.255.0,192.168.1.0,1"=-
"174.120.185.0,255.255.255.0,192.168.1.0,1"=-
"174.120.184.0,255.255.255.0,192.168.1.0,1"=-
"74.54.130.0,255.255.255.0,192.168.1.0,1"=-
"74.54.46.0,255.255.255.0,192.168.1.0,1"=-
"75.125.189.0,255.255.255.0,192.168.1.0,1"=-
"75.125.43.0,255.255.255.0,192.168.1.0,1"=-
"74.86.125.0,255.255.255.0,192.168.1.0,1"=-
"75.125.212.0,255.255.255.0,192.168.1.0,1"=-
"207.44.254.0,255.255.255.0,192.168.1.0,1"=-
"83.102.130.0,255.255.255.0,192.168.1.0,1"=-
"87.242.75.0,255.255.255.0,192.168.1.0,1"=-
"81.176.67.0,255.255.255.0,192.168.1.0,1"=-
"212.59.118.0,255.255.255.0,192.168.1.0,1"=-
"188.40.74.0,255.255.255.0,192.168.1.0,1"=-
"208.43.44.0,255.255.255.0,192.168.1.0,1"=-
"62.67.184.0,255.255.255.0,192.168.1.0,1"=-
"74.55.143.0,255.255.255.0,192.168.1.0,1"=-
"195.222.17.0,255.255.255.0,192.168.1.0,1"=-
"81.176.230.0,255.255.255.0,192.168.1.0,1"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56743:TCP"=-
"23589:TCP"=-
Folder::
c:\program files\Common Files\wm
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\d3a8e7dc.exe','');
 QuarantineFile('C:\WINDOWS\system32\cbygvc.exe','');
 QuarantineFile('C:\Documents and Settings\Артём\Главное меню\Программы\Автозагрузка\sisgbi32.exe','');
 DeleteFile('C:\Documents and Settings\Артём\Главное меню\Программы\Автозагрузка\sisgbi32.exe');
 DeleteFile('C:\WINDOWS\system32\cbygvc.exe');
 DeleteFile('C:\WINDOWS\system32\d3a8e7dc.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
и пожалуйста ко всему лог RSIT

Sunforger 03-09-2010 02:34 1487565
Спасибо, помогло. Вот логи.
После того как комбофикс сделал ребут и у меня наконец запустился нод32 он сразу же начал находить в папке system32/drivers кучу заражённых файлов, троян Bubins вроде как то так. И только четверть удалял - остальные писал, что очистка невозможно.
Сделал скрипт в авз, сообщения от нода пропали, надеюсь он убил заразу.

Malwarebytes Anti-Malware нашёл 11 файлов, я их все удалил.(лог сделан до их удаления)

И что делать с папками FOUND.xxx у меня их на диске С 50 штук комбофикс понасоздавал. В них какие-то фрагменты восстановленных файлов.

Arbitr 03-09-2010 10:47 1487709
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\vwzwahg.sys
c:\windows\system32\config\systemprofile\Application Data\rhjodx.dat

Driver::
vwzwahg
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
проверьте пож. на virustotal.com два файла ссылки на результат приложите
Цитата:
C:\Documents and Settings\Артём\Application Data\avdrn.dat
C:\Documents and Settings\Валера\Application Data\fieryads.dat
с помощью MBAM удалите все что есть в первом логе MBAM, два файла что дал решить по результату првоерки на virustotal

Sunforger 03-09-2010 13:27 1487809
В общем так, сейчас после после того как комбофикс сделал ребут нод32 опять видит кучу Win32/Bubnix.AU и не может удалить - пишет очистка невозможна. Причём файлов возможно больше сотни.

Sunforger 03-09-2010 13:34 1487819
Сделал перезагрузку, вроде помогло. Может это так нод 32 не ладит с комбофикс. (как отключить нод я не знаю, завершаю процесс, но он тут же восстанавливается, в самой проге выхода нет)

Те два файла
C:\Documents and Settings\Артём\Application Data\avdrn.dat
C:\Documents and Settings\Валера\Application Data\fieryads.dat
я не нашёл.

Arbitr 03-09-2010 13:34 1487820
Цитата:
Цитата Sunforger
В общем так, сейчас после после того как комбофикс сделал ребут »
в коде нет команды перезагрузки..может вы сами или вышла ошибка и комп перегрузился??
давайте что там сформировал по отчету комбо плюс сделайте пож лог AVZ +RSIT
MbaM удалили все??

Sunforger 03-09-2010 16:18 1487949
Ошибки не было. Я перетащил текстовый файл на ярлык, комбофикс запустился, через пару минут написал, что обнаружен руткит и надо делать ребут. Разницы между простым запуском и выполнением скрипта я не заметил, но судя по логам он удалил отмеченные в скрипте файлы. В сообщении №9 я выкладывал лог комбофикса.

МбаМ удалил те 11 штук. Сейчас я опять сделал им полную проверку и он обнаружил 1 файл - удалил.

Во время проверки системы авз, нод32 нашёл вирус - удалил. После перезагрузки опять был найден троян Kryptik - очщинен удалением.
Зараза какая-то живучая сидит блин.

Drongo 03-09-2010 21:06 1488120
Sunforger, Выполните такой скрипт из безопасного режима

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\артём\главное меню\программы\автозагрузка\sisgbi32.exe','');
 QuarantineFile('nylqadwt.sys','');
 DeleteFile('nylqadwt.sys');
 DeleteFile('c:\documents and settings\артём\главное меню\программы\автозагрузка\sisgbi32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После чего попробуйте скачать версию AVZ 4.35 обновите базы и переделайте логи.

Sunforger 03-09-2010 22:04 1488145
вотс

Drongo 04-09-2010 00:28 1488219
Sunforger, А что с проблемами? Доступ появился или нет? Если нет, сделайте дополнительный лог утилитой МВАМ

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Sunforger 04-09-2010 02:02 1488251
Проблема решилась, ведь я смог же сделать логи. Проблема была в том, что не работали авз, рсит и т.п, так же на сайты не заходил. После скрипта в комбофиксе всё стало нормально.
Я так понял последние логи чистые и можно отмечать проблему решённой?
Тока вопрос ещё раз напоследок - комбофикс понасоздавал кучу папок FOUND.000 и тут цифры от 000 до 050. В них какие-то восстановленные файлы фрагменты файлов, типа FILE0001.CHK - Что с этим делать? снести?

Drongo 04-09-2010 12:32 1488344
Цитата:
Цитата Sunforger
Я так понял последние логи чистые и можно отмечать проблему решённой? »
Да.

Цитата:
Цитата Sunforger
Тока вопрос ещё раз напоследок - комбофикс понасоздавал кучу папок FOUND.000 и тут цифры от 000 до 050. В них какие-то восстановленные файлы фрагменты файлов, типа FILE0001.CHK - Что с этим делать? снести? »
Да, скачайте утилитку - OTCleanIt нажмите кнопочку, она там одна, она всё зачистит.

Sunforger 04-09-2010 14:14 1488406
Всем большое спасибо за помощь.
Утилитка так эти папки и не удалила, сам удалил вручную, кроме папки Recycled, он занята каким-то приложением и не удаляется.


Время: 08:28.

Время: 08:28.
© OSzone.net 2001-