Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Взлом по всем фронтам (http://forum.oszone.net/showthread.php?t=225336)

illusionmgs 15-01-2012 21:03 1836629
Взлом по всем фронтам
 
привет
ситуация следующая

ломанули сначала одноклассники - затем вконтакте .. следов два моих номера аськи

одноклассники и вконтакте смог восстановить..аськи нет

большое подозрение на какой то троян

но стоит др веб... ничего не нашел
проверял касперским

проверял отпостом -пусто


что посоветуете? где может сидеть зараза? и как ее выявить?

saneck 15-01-2012 21:06 1836633
illusionmgs, а AVZ не пробовали, в безопасном режиме, а лучше из под какого нибудь Live-CD

illusionmgs 15-01-2012 21:08 1836634
только в безопасном?

saneck 15-01-2012 21:09 1836635
Цитата:
Цитата illusionmgs
только в безопасном? »
желательно бы.

illusionmgs 15-01-2012 21:10 1836637
на ночь поставлю наверное
а то проверять 4 тб

saneck 15-01-2012 21:12 1836638
Цитата:
Цитата illusionmgs
на ночь поставлю наверное
а то проверять 4 тб »
ну не знаю, я столько ни разу не сканировал, а вообще она шустро работает.

illusionmgs 15-01-2012 21:12 1836639
а есть на форуме какие-то сервисы по помощи в выявлении этого дерьма?

saneck 15-01-2012 21:15 1836642
illusionmgs, не знаю, у меня КИС12 он такую каку не пускает, поэтому я как то не сталкивался (тьфу-тьфу)

illusionmgs 15-01-2012 21:20 1836647
чуть позже наверное сделаю логи и попрошу спецов посмотреть

Drongo 16-01-2012 01:13 1836808
Цитата:
Цитата illusionmgs
чуть позже наверное сделаю логи и попрошу спецов посмотреть »
Тему переношу в лечение, там же ждём логи по правилам раздела.

illusionmgs 16-01-2012 02:43 1836836
прикрепил все логи в первом сообщении

очень надеюсь на помощь

SolarSpark 16-01-2012 12:04 1836978
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys');
 DeleteFile('C:\Documents and Settings\illusionmgs\Главное меню\Программы\Автозагрузка\siszyd32.exe');
  RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^illusionmgs^Главное меню^Программы^Автозагрузка^siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zwtpwgcwlbgwk9');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)

Скачайте и установите критические обновления windows

Сделайте повторные лог RSIT + выполните лог HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
___________________________________________________________

illusionmgs 16-01-2012 13:20 1837021
Здравствуйте

Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)

Это невозможно . Установлено очень много важного софта - и всё переустанавливать -на неделю работы -которой у меня нет
При переустановке на SP3 всё слетит

да и вряд ли это решит проблему, если есть вирус
Также я не смогу установить и обновления WINDOWS по известным причинам
Когда -то установил виндовс( лет 7 назад) ...и бережно слежу за системой -переустанавливать сситему нельзя да и не хочу

В связи с этим какие действия мне предпринимать для дальнейшего выявления заражения?

SolarSpark 16-01-2012 13:26 1837027
Цитата:
Цитата illusionmgs
При переустановке на SP3 всё слетит »
что у вас слетит? система просто обновится..закроются дыры и уязвимости

скрипт выполняли? логи приложите

illusionmgs 16-01-2012 13:33 1837035
у меня виндовс к сожалению xp , неофициальная . Хотел купить лицензию -опять таки - (как сказали специалисты) слетят все рабочие программы, а в такой ситуации я не могу это сделать в данный момент

или посоветуйте -как обновиться до лицензии -чтобы система не упала и осталась точно такой же -как до обновления


скрипт выполнил -система перегрузилась - но в папке логов только вчерашние файлы

как дать сегодняшний лог?

SolarSpark 16-01-2012 13:36 1837037
лог RSIT хранится в корне диска С в одноименной папке и выполните еще лог HijackThis

озвучьте перечень программ за которые вы волнуетесь

illusionmgs 16-01-2012 13:48 1837048
Цитата:
Цитата SolarSpark
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. »
я пока выполнил этот скрипт - и логов нет в avz папке

остальные не выполнял -так как перед этим вы посоветовали обновиться до SP 3 - выполнить повторные лог RSIT + выполните лог HijackThis ??

Сложно озвучить их - перечень не малый -и самое главное -что многие с индивидуальными настройками

всё это ворошить физически нет ни времени, ни желания

SolarSpark 16-01-2012 13:56 1837055
они написаны индивидуально под SP2?
в логах никаких супер-пупер прог я не вижу, я еще бы поняла Вас, если бы стоял клиентсбербанка или что-то около, у них жесткая привязка к системе
Для вашей ситуации обновление вполне реально.

логов авз я не запрашивала-они мне не нужны.. пропустите рекомендацию по обновлению и выполняйте дальше

illusionmgs 16-01-2012 13:57 1837056
ок
делаю

p.s. супер пупер нет -но в очень многих тонкие индивидуальные настройки -восстановить везде которые займет не один день

illusionmgs 16-01-2012 18:57 1837277
всё сделал
новые логи прикрепил

SolarSpark 16-01-2012 19:30 1837305
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys','');
QuarantineFile('C:\Documents and Settings\illusionmgs\Application Data\avdrn.dat','');
QuarantineFile('C:\Documents and Settings\illusionmgs\Application Data\fvgqad.dat','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat','');
 DeleteFile('C:\WINDOWS\system32\drivers\zwtpwgcwlbgwk9.sys');
 DeleteFile('C:\Documents and Settings\illusionmgs\Application Data\avdrn.dat');
 DeleteFile('C:\Documents and Settings\illusionmgs\Application Data\fvgqad.dat');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zwtpwgcwlbgwk9');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52283
повторите RSIT и отпишитесь о самочувствии

SolarSpark 16-01-2012 20:29 1837352
если вы успели выполнить скрипт из удаленного поста, примените вслед за ним скрипт из поста 21 и далее все, как я там расписала

illusionmgs 16-01-2012 21:00 1837372
всё сделал

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

не убивается


http://cyber-safety.info/publ/userinit_exe/15-1-0-36 точно это мусор -червь?

лог прикрепил RSIT


также раздражает процесс RICHVIDEO.EXE и NVSVC.EXE -которые всегда запускаются при включении пк..даже если отрубить их в MSCONFIG

Drongo 16-01-2012 22:05 1837414
Цитата:
Цитата illusionmgs
также раздражает процесс RICHVIDEO.EXE и NVSVC.EXE -которые всегда запускаются при включении пк..даже если отрубить их в MSCONFIG »
Это службы, их нужно останавливать, знаете где это? ПКМ по мой компьютер - Управление - Службы - ПКМ по службе - тип запуска отключено, кнопка Стоп. Или выставить тип запуска вручную, если будут проблемы с отключеными
Код:
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared files\RichVideo.exe [2010-08-19 247152]
R2 nvsvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2011-01-07 156776]
Цитата:
Цитата illusionmgs
точно это мусор -червь? »
Нет, файл легелен, просто запись в нестандартном месте.

Цитата:
Цитата SolarSpark
и отпишитесь о самочувствии »
А кроме описаных моментов проблем больше нет?

illusionmgs 16-01-2012 22:24 1837427
Цитата:
Цитата Drongo
Это службы, их нужно останавливать, знаете где это? ПКМ по мой компьютер - Управление - Службы - ПКМ по службе - тип запуска отключено, кнопка Стоп. Или выставить тип запуска вручную, если будут проблемы с отключеными
Код: »
да, в службах вроде нашел и остановил всё - спасибо, помогли

Цитата:
Цитата Drongo
Нет, файл легелен, просто запись в нестандартном месте. »
если файл в нестандартном месте C:\WINDOWS\System32\userinit.exe

что с ним делать?


Цитата:
Цитата Drongo
А кроме описаных моментов проблем больше нет? »

знаете, пока не ломанули два номера icq - особых проблем не наблюдалось - вроде слежу за компьютером
сегодня не пожалел, купил лицензию к программе Malwarebytes - приглянулась программка

сейчас на пк стоит

а) Outpost security suite pro последней версии -лицензионная
б) DR web 6.05 - лицензионная
в) Malwarebytes лицензионная

что еще посоветуете -чтобы максимально обезопасить от проникновения?

Drongo 17-01-2012 02:02 1837559
Цитата:
Цитата illusionmgs
если файл в нестандартном месте C:\WINDOWS\System32\userinit.exe
что с ним делать?
»
Ничего не делать, он в стандартном для него месте. :)

Цитата:
Цитата illusionmgs
а) Outpost security suite pro последней версии -лицензионная
б) DR web 6.05 - лицензионная
в) Malwarebytes лицензионная »
Лучше что-то одно чтобы стояло, а вторым для страховки сканировать раз в неделю.
Цитата:
Цитата illusionmgs
что еще посоветуете -чтобы максимально обезопасить от проникновения? »
Я бы раз в недельку примерно месяц подстраховался сканированием CureIt!

illusionmgs 17-01-2012 11:52 1837752
дык зачем курейт -если др веб и так стоит?)))

а в оутпосте много полезных функций -которых нет в др веб и в malware))

и вроде всё гармонирует друг с другом)

SolarSpark 17-01-2012 12:40 1837804
Выполнитерекомендации после лечения

обратите внимание на пересоздание контрольной точки восстановления, старые необходимо удалить-они у вас заражены

illusionmgs 18-01-2012 12:37 1838732
огромное спасибо за помощь!


Время: 17:54.

Время: 17:54.
© OSzone.net 2001-