Добрый день, господа!

Вчера обнаружил сабжевую дрянь на одном компе. Руками победить не получается. Надеюсь на вашу помощь. Заранее благодарен.

Смотрю логи. Скоро отвечу...

E:\INSTALL\PROCEXP\PROCEXP.EXE- что за прибамбас? :)

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show allИз всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

E:\INSTALL\PROCEXP\PROCEXP.EXE- что за прибамбас? »
Дык ведь тыц (http://technet.microsoft.com/ru-ru/sysinternals/bb896653)

Инструкции пока выполнить не могу - комп не мой. Вечером вооружусь инструкциями и в бой. :)

Будем ждать :)

Добрый вечер.

Вот запрашиваемый лог. Я взял на себя смелость убрать бяку вручную, основываясь на данных лога. Убить не получилось, вышло только заблокировать.

Прошелся по реестру, убрал все, что было указано в логе (имеется ввиду, относящееся к "uerje"), плюс еще то, что нашел через поиск.

В system32\config\systemprofile\Application Data\FwZXNUlsqMfCSFd папку удалять бессмысленно - появляется заново. Я тупо снял наследование прав и сделал полный запрет на файл нулевой длины с именем wndsksi.inf

После этого перезагрузился и процесс svchost непонятного происхождения перестал появляться. Но стоит снять запрет редактирования или удалить файл wndsksi.inf, как после ребута эта гадость опять всплывает в процессах и гадит в корне диска C:

Далее: C:\WINDOWS\system32\girqsg.dll - такого файла нет вообще. Смотрел несколько раз. Скрытые / системные отображаются.


Итак, сейчас файл в system32\config\systemprofile\... заблокирован на изменение и вирусня не работает, по крайней мере так, как ей хотелось бы. Однако папка FwZXNUlsqMfCSFd все равно появляется в корне диска C:, хотя и пустая. В общем, я что-то не учел. Возможно, инфицированы системные файлы, например, Explorer.

Беглый просмотр измененных файлов ничего не дал. В system32 свежих файлов только два, и те нормальные.

1. Откройте Блокнот и скопируйте в него текст скрипта
gmer.exe -del service uerje
gmer.exe -del file "C:\WINDOWS\system32\girqsg.dll"
gmer.exe -del file "C:\WINDOWS\system32\config\systemprofile\Application Data\FwZXNUlsqMfCSFd"
gmer.exe -del file "C:\WINDOWS\system32\config\systemprofile\Application Data\FwZXNUlsqMfCSFd\wndsksi.inf"
gmer.exe -del file "C:\WINDOWS\Temp\cch~2d8149247d5a.htp"
gmer.exe -del file "C:\WINDOWS\Temp\cch~2d814960312e.htp"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\uerje"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\uerje"
gmer.exe -reboot2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится gmer.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

- Закройте уязвимости системы, установив обновления:
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)


Установите обновления для Windows (http://www.update.microsoft.com/)

Повторите логи АВЗ и РСИТ.

Что с проблемой?

Добрый вечер.

Скрипт при отработке не нашел файл C:\WINDOWS\system32\girqsg.dll

Сервис из списка служб пропал, но бяка все еще действует. После отработки скрипта опять появился процесс и снова в C:\FwZXNUlsqMfCSFd\ стали появляться файлы, судя по всему, из-за того, что скрипт грохнул пустой залоченный wndsksi.inf, и вместо него теперь орудует настоящий.

Обновления поставили.

Логи прилагаю.

Пофиксите в HijackThis: (http://forum.oszone.net/post-1430293-2.html)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)

- Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - "Показать результаты" - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

В силу затянувшейся борьбы с вирусней возможности ходить к пользователю и снимать логи нет, посему было принято решение о переустановке системы с тотальным выпиливанием содержимого системного диска.

Отвечающим большое спасибо за отзывчивость.

Тему можно закрывать.