Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Заражение. Закрытие AVZ и т.п. (http://forum.oszone.net/showthread.php?t=189838)

comixlol 30-10-2010 18:02 1531069
Заражение. Закрытие AVZ и т.п.
 
Добрый вечер. У меня не знаходит на сайты Антивирусов, вирустотал и д.р.
При открытии AVZ, HijackThis и других таких же программ, через пол секунды они закрываются
ОС - XP Zver. Антивирус Касперский 2011
Проверил систему CureIt. Нашел 6 модификация, но удалить не смог т.к. зависла программа.
Единственный лог который могу предоставить - это лог CureIt
http://rghost.ru/3091181

Инфицированные фалы
C:\WINDOWS\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715
C:\WINDOWS\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223
C:\WINDOWS\system32\*[o©2WЂR инфицирован Trojan.PWS.Ibank.218
C:\WINDOWS\system32\*{#©¤{#© инфицирован Trojan.DownLoader1.33320
c:\windows\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715
c:\windows\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223

zirreX 30-10-2010 19:03 1531122
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

comixlol 30-10-2010 20:17 1531175


выключил все. вылезает данная ошибка

Уже сделал все что можно.. даже поместил файлы на карантин касперским.. все равно не могу запускать фалы и сайты

zirreX 30-10-2010 22:29 1531270
Пробовали переименовать и запустить?
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
Попробуйте еще раз запустить.

Если так и не удастся запустить ComboFix, скачайте полиморфный AVZ по ссылке и подготовьте логи!

comixlol 31-10-2010 00:21 1531324
Вложений: 1
Полиморфный AVZ не работал. Но после помещения упомянутых в 1 посте файлов на карантин, они оба заработали. Даю логи. После и до переименовании ComboFix не работает. Ошибка та же, что и на скрине

zirreX 31-10-2010 00:32 1531330
comixlol, сейчас посмотрю

zirreX 31-10-2010 00:51 1531335
Установите Internet Explorer 8 даже если не пользуетесь!

Ваше?
C:\Игры\NevoDRM\run.exe

*Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\28a8f991.exe','');
QuarantineFile('C:\WINDOWS\system32\zhmipg.exe','');
QuarantineFile('C:\WINDOWS\system32\idtlgql.exe','');
QuarantineFile('C:\WINDOWS\system32\cewcaac.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys');
DeleteFile('C:\WINDOWS\system32\cewcaac.exe');
DeleteFile('C:\WINDOWS\system32\idtlgql.exe');
DeleteFile('C:\WINDOWS\system32\zhmipg.exe');
DeleteFile('C:\WINDOWS\system32\28a8f991.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

comixlol 31-10-2010 01:55 1531348
Вложений: 2
Цитата:
Цитата Fedin
Установите Internet Explorer 8 даже если не пользуетесь! »
Сказано - Понято - Сделано

Цитата:
Цитата Fedin
*Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить". »
Сделано

Цитата:
Цитата Fedin
После перезагрузки выполните такой скрипт
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить". »
Сделано

Цитата:
Цитата Fedin
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме. »
Ответа на E-mail пока нету

Цитата:
Цитата Fedin
Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!! »
Сделано

Цитата:
Цитата Fedin
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »
Сделано

Насчет
Зараженные файлы:
C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) в логе мбама
Это патчер для Multi Password Recovery. Лецензия
http://www.virustotal.com/file-scan/...8be-1287778505

Цитата:
Цитата Fedin
Ваше?
C:\Игры\NevoDRM\run.exe »
Это вроде шло с играми от Алавара. Папка на скан нужна?
Вот на сам файл
http://www.virustotal.com/file-scan/...942-1288475692

comixlol 31-10-2010 02:00 1531349
Вот сканирование папки с VirusTotal
http://www.virustotal.com/file-scan/...f31-1288475868

Как Вы видите, после скриптов в AVZ начал работать сайт ВирусТотал и сайт Касперского

zirreX 31-10-2010 02:28 1531355
Проверьте на www.virustotal.com
C:\WINDOWS\system32\drivers\vdexodm4.sys
Дайте ссылку на результат проверки

Удалить в MBAM:
Код:
C:\RECYCLER\S-1-5-21-790525478-343818398-682003330-500\Dc31\License\iexplore.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.
Рекомендую удалить:
Код:
C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> No action taken.
Больше в логах ничего нет

Проблема решена?

comixlol 31-10-2010 02:46 1531360
http://www.virustotal.com/file-scan/...4f6-1288478698
0/43

Да. Спасибо. Было очень приятно с Вами разговаривать. Теперь хоть интернет быстро грузит ;)
Помечаю тему [решено]

zirreX 31-10-2010 02:00 1531366
Пожалуйста!Обращайтесь, если что.

Смените все важные пароли, так как этот троян специализируется на их краже!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.

comixlol 31-10-2010 02:21 1531375
Цитата:
Цитата Fedin
Смените все важные пароли, так как этот троян специализируется на их краже!!! »
Вот, что я хотел от Вас услышать.

ATF почистил и сейчас же установлю NoScript!


Время: 11:15.

Время: 11:15.
© OSzone.net 2001-