Вредоносные программы в атаке! - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Вредоносные программы в атаке! (http://forum.oszone.net/showthread.php?t=261529)

Вредоносные программы в атаке!

Здравствуйте, господа.

Последнее время у меня служба "беспроводные сети" при включении ноута стала выключаться (непонятно почему - в настройках стоит включаться автоматически). Кроме того, почему-то не заходит на некоторые сайты. Хотя у других людей эти сайты открываются. У меня под прокси эти сайты тоже открываются, а без прокси нет. Файл hosts чистил - результата не дало. Кроме того, есть подозрение, что кейлогером выцепили мои пароли к хостингу, а значит может быть до сих пор какая-то бяка на ноуте живёт.

Необходимые логи прикреплены. Надеюсь, вы сможете мне помочь.

Заранее благодарю за помощь.

Цитата:

Внимание !!! База поcледний раз обновлялась 28.02.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.37.

Пожалуйста обновите базы

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteAVUpdate;

 SearchRootkit(true, true);

 SetAVZGuardStatus(True);

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true); 

 QuarantineFile('c:\windows\fredo.sys','');

 QuarantineFile('C:\WINDOWS\apppatch\gnttbaj.exe','');

 DeleteFile('c:\windows\fredo.sys');

 DeleteFile('C:\WINDOWS\apppatch\gnttbaj.exe');

 DeleteService('newdriver');

BC_ImportALL;

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

BC_Activate;

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

по окончанию лечения не забудьте сменить пароли.

Скриптом прогнал, по случаю новую авз поставил, базу обновил, прогнал, новые логи прикрепил. В форму данные отправил.

Проблема с сайтами так и осталась, например сайт http://whitebox.com.ua выдаёт мне: невозможно подключиться к удалённому серверу. Хотя у всех работает. И под прокси работает.

У меня уже была такая проблема ранее - нашёл тогда в интернете совет в командной строке набрать: route -f
Тогда всё починилось. Сейчас проблема схожа, но решение не помогает. И удаление всякой бяки тоже похоже не помогло. Я в замешательстве.

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)

R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)

R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Прикрепите отчет к своему следующему сообщению.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Долго очень проверялось, но вроде бы что-то нашлось. Пока ничего не удалял - логи прикрепил, жду вашего совета. Ещё раз спасибо за помощь.

KGB Keylogger сами устаналивали ?

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  2

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.



Обнаруженные параметры в реестре:  3

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr8Б·Ї¶hЯЇ -вEФ,‡ѓҐSh‚Ј¤nQoк{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr-©@ЛП}l{x@V4(вrКЊ`f|·№ћЊGoЌ·њ{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrУ

„Є»э\5 -> Действие не было предпринято.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Антон\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Local Settings\Temp\IELOGIN.abc (Malware.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Администратор\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Действие не было предпринято.

C:\WINDOWS\logfile32.txt (Malware.Trace) -> Действие не было предпринято.

C:\Documents and Settings\Антон\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Member of GRID -  Goodware Repository Information Database.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

+ если кейлогер сами не ставили удалите также в MBAM

Код:

Обнаруженные папки:  8

C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.

C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\s0000 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.

C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.

--------------------------------------------------------

пролечитесь утилитой capperkiller лог работы утилиты приложите.

---------------------------

Внимание, следующее действие удалит установленные тулбары.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

сделайте новый лог сканирования MBAM

+ после окончания лечения не забудьте сменить пароли.

Окно не закрыл ещё - кейлогер не ставил

Всё кроме MBAM сделал (оно долго идёт - на ночь поставлю)
Логи прикрепил.
Какие-то позитивные сдвиги есть - какие-то старые мелкие баги пофиксились.
Но сайты некоторые всё равно не открываются! И я всё ещё в печали.

Цитата:

Цитата eleazar

сайты некоторые всё равно не открываются »

Пинг по имени идет? В любом браузере не открываются? В портативном тоже?

Сайты не пингуются и в портативном тоже не открываются

Проверьте в безопасном режиме с поддержкой сети.

В безопасном режиме все сайты работают!

Правда после написания этого сообщения опять перезагрузил в безопасный режим - теперь и там не работают! Ведь только что работало. И тоже теперь не работает...те же сайты. А большая часть сайтов работает.

Сделайте диагностику.

В безопасном отключил все службы кроме сетевого драйвера и корпорации майкрософт (там есть службы, которые по русски подписаны корпорация майкрософт - я их также не отключал), в автозагрузке убрал всё кроме системных. И всё равно! Яндекс пингуется, whitebox.com.ua не пингуется

Обратитесь в тех. поддержку провайдера. Вполне возможно, что заблокировано с его стороны.

Провайдер скорее всего не при чём - проблема, как я указывал, возникала и ранее, а я буквально на днях переехал в другую страну - и соответственно сменил провайдера. А проблема осталась.

Проблема всё ещё актуальна. Заметил, что иногда в файле hosts внезапно прописываются какие-то строчки. Я их удаляю, но эффекта всё равно нет - многие сайты по прежнему не открываются. Это печалит меня всё больше.

Сделайте новые логи AVZ и RSIT.

Дополнительно сделайте лог uVS:

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

Лог мне выдало в ткст, раз надо в винраре - запаковал - прикрепил, если не поможет, то завтра ещё прогоню остальными, хотя я там уже всё что мог зачистил.

Я лог смотрел - фигурирует какой-то оптимайзер про - мне помнится, он мне установился вместе с каким-то скаченным файлом случайно. Может это и есть троян, не?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.80.11 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\INIT\INI.EXE delref HTTP://TEERG.COM/BG43ZV623/PROXY.PAC restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

2) ещё раз пролечитесь утилитой capperkiller лог работы утилиты приложите.

3) сделайте экспорт ветки реестра

Код:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

заархивируйте и прикрепите к своему сообщению.

4) сделайте новый лог автозапуска uVS.

PS. OPTIMIZERPRO если вам не нужен деинсталируйте.

Цитата:

Цитата regist

Выполнить скрипт »

Выполнил - сайты продолжают не открываться

Цитата:

Цитата regist

с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z) »

нету такого

capperkiller не нашёл ни одной угрозы

сделайте экспорт ветки реестра - а это как сделать?

Для того чтобы экспортировать ветку реестра, достаточно щелкнуть по ней правой кнопкой мыши и выбрать из контекстного меню команду Экспортировать

Цитата:

Цитата regist

4) сделайте новый лог автозапуска uVS. »

Ветку реестра прикрепил. Лог автозапуска тоже прикрепил

Цитата:

Цитата eleazar

У меня лимит вложений кончился - как его увеличить? »

удалите самые первые вложения

История получает внезапное развитие!

Сейчас нахожусь на украинском провайдере. Внезапно у меня отключился интернет - звоню в техподдержку - они говорят, что у вас было замечено какое-то странное поведение роутера и аккаунт заблочило. И мне интернет снова включили! Что самое забавное после этого начали открываться сайты!!! И до сих пор открываются.

Прошёл примерно час и интернет снова вырубило по той же причине! Что интересно, прямо во время выруба интернета в файл хостс вписались новые строки! (я его как раз ноутпадом++ проверял, а ноутпад он оперативно реагирует на внезапные изменения). В техподдержке провайдера уверяют, что причина в роутере и рекомендуют сменить прошивку.

Сейчас сижу без роутера - с прямым подключением - всё работает. Но хочу вернуть роутер, и чтобы всё продолжало работать! Роутеру полгода - dir 300 b5 - прошивка стандартная.

В России использую другой роутер, и сайты там тоже не открывались...может из роутера в комп оно как-то просачивается...загадка в общем.

Хотел бы узнать ваши мысли по этому поводу.

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров

Проверяйте работу в Интернете

Роутер сбросил, настройки поставил. Пароли поменял, задумался: может это я случайно забыл на роутере пароль поставить, и коварные соседи хакерили? Это было бы забавно...

Роутер подключил - всё работает, никаких вредностей за день не замечено.

Ещё раз выражаю благодарность всем, кто помогает мне на этом форуме. Надеюсь, что вернусь сюда не скоро.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.