[Pili]

Цитата santana109:

после использования все этих программ появилось много ненужных файлов в частности от ComboFix,что с ними делать?? »

пока оставить.

Цитата santana109:

и ещё, нужно ли мне блокировать такие порты: 445 и 139 перекрыты.??и как это сделать в брандмауэре?? »

в исключениях брандмауэра отключить общий доступ к файлам и принтерам.
Я уже вам давал аналогичные рекомендации здесь, если бы выполнили их, то не подхватили бы червя kido снова.
BitComet деинсталлируйте.
Настоятельно рекомендуем установить критическое обновление KB958644 установите все патчи см. пост 21 и все обновления - http://windowsupdate.microsoft.com
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

Driver::
eylgy

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5265:TCP"=-

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.
файлы
c:\windows\system32\user32.dll
c:\windows\system32\ctfmon.exe
проверьте на virustotal.com

[santana109]

Цитата Pili:

BitComet деинсталлируйте. »

навсегда или на время проверки??просто он мне нужен
что именно из этого мне надо поставить?

[Pili]

santana109, на ваше усмотрение, почитайте здесь и здесь, можете bitcomet.exe и др. файлы из папки проверить на virustotal

[santana109]

Pili,

Цитата Pili:

Настоятельно рекомендуем установить критическое обновление KB958644 »

- это обновления я установливал ранее.

Цитата Pili:

в исключениях брандмауэра отключить общий доступ к файлам и принтерам »

вроде отключил

Цитата Pili:

c:\windows\system32\ctfmon.exe »

ничего не дало.

Цитата Pili:

c:\windows\system32\ctfmon.exe »

зато по этому файлу я прикрепил ниже информацию:
Антивирус Версия Обновление Результат
AhnLab-V3 - - -
AntiVir - - TR/Patched.BB.23
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
Comodo - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
McAfee+Artemis - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Trojan.Patched.BB.23
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Дополнительная информация
MD5: f7af57aa04ec029609f083c07e691e37
SHA1: 0b914818ec47390866b8044c7856b8d41f67634b
SHA256: 7dd4494e7433e9af0b90e87a75d067f285d37b30323a1480b40bd7ab21588699
SHA512: 8fbe5a228422dfc2f15f945f3b44ff94a7cc2e28baa4925baa5b6cb0ddd24fca3fbf529efe1a0ca1744f4f0c14ecce895b40 6b3be697a38f4362a83cebc3ec

ComboFix.exe, Gmer, DDS- сделал логи и прикрепил всё в одном архиве.

[santana109]

дело в том что программа Prevx CSI нашла 4 зараженных объекта, но для их удаления требуется ключ

Цитата Pili:

santana109, на ваше усмотрение »

пожалуста подскажите что поставить на скрине так как я не сильно разбираюсь.

Цитата santana109:

Изображения[AD] Безымянный.JPG (204.5 Kb, 0 просмотров) »

зарание спасибо, жду ответа.

[Pili]

Цитата santana109:

это обновления я установливал ранее. »

Там ещё есть утилиты, проверялись ими?

Цитата santana109:

что именно из этого мне надо поставить? »

Выберите патч для вашей ОС Windows XP SP3, можете установить то, что предложит windowsupdate.microsoft.com
К сожалению на вашем скриншоте не все файлы видно, скопируйте лог Prevx CSI в текстовом виде в сообщение или удалите то что что нашел Prevx CSI вручную, предварительно проверив файлы на virustotal

Цитата santana109:

зато по этому файлу я прикрепил ниже информацию »

по этому - это user32.dll? Запакуйте его с паролем virus и отправьте в вирлаб, рекомендую заменить этот файл, взяв его с чистой системы, а также ctfmon.exe и explorer.exe (возможно придется полностью делать восстановление системных файлов)
combofix не отработал, видимо оттого, что у вас outpost, я рекомендовал его временно деинсталлировать, как и radmin, по логам gmer и dds, от kido ничего не обнаружено, попробуйте деинсталлирвоать outpost и radmin, деинсталлируйтеBitComet.
посмотрите в ветке реестра (лучше с помощью IceSword) вкладка registry
HKLM\SYSTEM\CurrentControlSet\Services\eylgy
параметр Parameters@ServiceDll на какой файл указывает? Найдите этот файл (можно с помощью IceSword - вкладка file) и через п.к.м скопируйте этот файл куда-нибудь и удалите (через force delete), сам файл в архиве с паролем также можете отправить в вирлаб. см. дополнительно Краткое описание и инструкция по удалению от Microsoft, рекомендую провериться также утилитой Утилита KidoKiller
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services
eylgy

:Files

:Reg
[-HKLM\SYSTEM\CurrentControlSet\Services\eylgy]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5265:TCP"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Повторите логи combofix.

[santana109]

Цитата Pili:

Там ещё есть утилиты, проверялись ими? »

да проверял, ничего

Цитата Pili:

деинсталлируйтеBitComet. »

я проверил вс файлы на virustotal.com, он чистый.

Цитата Pili:

провериться также утилитой Утилита KidoKiller »

также ничего не дало.

Цитата Pili:

что у вас outpost, я рекомендовал его временно деинсталлировать »

его я деинсталировал но корректно или нет незнаю, боюсь хвосты пооставались

Цитата Pili:

OTMoveIt3 »

эти логи прикрепил

Цитата Pili:

ComboFix »

и прекрепил 2 разных лога
Pili, вроде все сделал правильно.Жду ответа.

[Pili]

Цитата santana109:

его я деинсталировал но корректно или нет незнаю, боюсь хвосты пооставались »

Инструкции по расширенной деинсталляции и переустановке Outpost ...
Теперь combofix отработал.

Цитата Pili:

посмотрите в ветке реестра (лучше с помощью IceSword) вкладка registry HKLM\SYSTEM\CurrentControlSet\Services\eylgy параметр Parameters@ServiceDll на какой файл указывает? Найдите этот файл (можно с помощью IceSword - вкладка file) и через п.к.м скопируйте этот файл куда-нибудь и удалите (через force delete), сам файл в архиве с паролем также можете отправить в вирлаб. см. дополнительно Краткое описание и инструкция по удалению от Microsoft, »

это делали? dll нашли?
Выполните
Пуск - выполнить - cmd
Вставьте

Код:

dir C:\windows\system32 /A:ashr >C:\scan.txt

файл C:\scan.txt прикрепите к сообщению.

Временно деинсталлируйте свой антивирус (потом заново установите), скачайте Avira AntiVir Personal, установите обновите базы (через интернет или можно скачать отдельно здесь и обновить вручную), проведите сканирование системы, логи проверки можете выложит в след. сообщение.
c:\windows\system32\user32.dll - вы похоже так и не заменили, поэтому если не замените, Avira может удалить этот файл.

[santana109]

Цитата Pili:

Пуск - выполнить - cmd Вставьте Код: dir C:\windows\system32 /A:ashr >C:\scan.txt »

пожалуста объясните подробней как это сделать у меня не получилось, вылезло черное окно и там иероглифы ,а дальше ничего.

Цитата Pili:

c:\windows\system32\user32.dll - вы похоже так и не заменили, поэтому если не замените, Avira может удалить этот файл. »

а вручную просто удалить нельзя???

[Pili]

Цитата santana109:

пожалуста объясните подробней как это сделать у меня не получилось, вылезло черное окно и там иероглифы ,а дальше ничего. »

распакуйте и запустите вложенный файл, C:\scan.txt вложите в сообщение или скопируйте из него текст в след. сообщение.

Цитата:

а вручную просто удалить нельзя???

Это системный файл, если удалите, могут быть проблемы, нужно заменить файл с дистрибутива или другой чистой системы или с помощью sfc /scannow