Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [Решено]Очень интересный вирус

Ответить
Настройки темы
[Решено]Очень интересный вирус

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: SK-93
Дата: 13-11-2010
Прочитал множество тем на форуме, не смог найти ответа на свой вопрос.

В общем симптомы такие:

(Windows XP SP3)
*При подключение к интернету процесс winlogon.exe занимает все ресурсы
*Блокируются антивирусные сайты сайты
*Закрывается приложение Malwarebytes' Anti-Malware
*Так же закрывается ComboFix
*В панели управления :> Сетевые подключения невозможно создать подключение или изменить параметры существующего, пишит "Ошибка: 623: Системе не удалось найти запись телефонной книги для этого подключения"
*На рабочем столе и в корне диска C:\ создаются подозрительные файлы *.tmp
*При закрытие процесса explorer.exe он запускается снова...

Написал программку которая уничтожает процесс explorer.exe каждые 200 миллисекунд и мне удалось открыть ComboFix как и Malwarebytes' Anti-Malware

Лог комбофикса:

Цитата:
ComboFix 10-11-12.01 - SJ 13.11.2010 3:51.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.895.681 [GMT 3:00]
Running from: c:\program files\Common Files\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
C:\SERVER.txt
c:\windows\system32\Пузыри.scr
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((( Files Created from 2010-10-13 to 2010-11-13 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe

[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:\windows\system32\wininet.dll

[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-12-26 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BFBA68E-E21B-458E-AE12-FE85E903D2C1}]
2010-08-31 13:15 257384 ----a-w- c:\program files\AlterGeo\AlterGeo Magic Scanner\2.8.8.615\AlterGeo.BrowserPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2009-12-19 819200]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]
"IE8_02"="advpack.dll" [2009-12-26 128512]
"ZZZZ1_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]

c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
ADSL.pbk [2010-11-12 1606]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\akbwofr.exe,"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Reboot.exe]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
backup=c:\windows\pss\Reboot.exeCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ADSL.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ADSL.lnk
backup=c:\windows\pss\ADSL.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Punto Switcher.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Punto Switcher.lnk
backup=c:\windows\pss\Punto Switcher.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ЎЎЎЎЎЎ.lnk
backup=c:\windows\pss\ЎЎЎЎЎЎ.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Запустить War3FT CS2.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Запустить War3FT CS2.lnk
backup=c:\windows\pss\Запустить War3FT CS2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon]
2009-12-11 11:25 287744 -c--a-w- d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
2005-12-06 09:08 20480 ----a-w- c:\windows\FixCamera.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Guard.Mail.ru.gui]
2010-10-23 17:22 992960 ----a-w- c:\program files\Mail.Ru\Guard\GuardMailRu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2007-12-20 08:13 7151616 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2010-10-23 17:22 12317376 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 11:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-10-04 08:14 8491008 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-10-04 08:14 1626112 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
2005-09-05 11:55 339968 ----a-w- c:\windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
2005-11-04 11:05 90112 ----a-w- c:\windows\tsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VistaIcon]
2008-01-02 10:52 132096 ----a-w- c:\program files\VistaDriveIcon\VistaDrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP
"11265:TCP"= 11265:TCP

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [23.10.2010 14:38 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [23.10.2010 14:38 41616]
R2 Guard.Mail.ru;Guard.Mail.ru;c:\program files\Mail.Ru\Guard\GuardMailRu.exe [23.10.2010 20:22 992960]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\drivers\m4cxw2k3.sys [15.02.2007 7:04 250752]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [30.11.2009 11:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [30.11.2009 11:27 110992]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [23.10.2010 14:47 212992]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.10.2010 12:43 691696]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13.11.2010 3:32 38224]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.inet123.ru/
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
Notify-WgaLogon - (no file)
MSConfigStartUp-UIUCU - c:\docume~1\SJ\LOCALS~1\Temp\UIUCU.EXE
AddRemove-HashTab 3.0.0 - c:\windows\system32\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 03:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1348)
c:\windows\system32\cscui.dll
c:\windows\system32\WININET.dll
c:\windows\system32\COMRes.dll
.
Completion time: 2010-11-13 03:56:45
ComboFix-quarantined-files.txt 2010-11-13 00:56

Pre-Run: 1*107*116*032 байт свободно
Post-Run: 1*137*389*568 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

- - End Of File - - D978D6E133EF6C09822CFFCD9E126EFA
Что делать, хелп...

Отправлено: 04:10, 13-11-2010

 

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Прочитал множество тем на форуме, не смог найти ответа на свой вопрос.

В общем симптомы такие:

(Windows XP SP3)
*При подключение к интернету процесс winlogon.exe занимает все ресурсы
*Блокируются антивирусные сайты сайты
*Закрывается приложение Malwarebytes' Anti-Malware
*Так же закрывается ComboFix
*В панели управления :> Сетевые подключения невозможно создать подключение или изменить параметры существующего, пишит "Ошибка: 623: Системе не удалось найти запись телефонной книги для этого подключения"
*На рабочем столе и в корне диска C:\ создаются подозрительные файлы *.tmp
*При закрытие процесса explorer.exe он запускается снова...

Написал программку которая уничтожает процесс explorer.exe каждые 200 миллисекунд и мне удалось открыть ComboFix как и Malwarebytes' Anti-Malware

Лог комбофикса:

Цитата:
ComboFix 10-11-12.01 - SJ 13.11.2010 3:51.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.895.681 [GMT 3:00]
Running from: c:\program files\Common Files\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
C:\SERVER.txt
c:\windows\system32\Пузыри.scr
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((( Files Created from 2010-10-13 to 2010-11-13 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe

[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:\windows\system32\wininet.dll

[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-12-26 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BFBA68E-E21B-458E-AE12-FE85E903D2C1}]
2010-08-31 13:15 257384 ----a-w- c:\program files\AlterGeo\AlterGeo Magic Scanner\2.8.8.615\AlterGeo.BrowserPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2009-12-19 819200]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]
"IE8_02"="advpack.dll" [2009-12-26 128512]
"ZZZZ1_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]

c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
ADSL.pbk [2010-11-12 1606]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\akbwofr.exe,"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Reboot.exe]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
backup=c:\windows\pss\Reboot.exeCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ADSL.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ADSL.lnk
backup=c:\windows\pss\ADSL.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Punto Switcher.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Punto Switcher.lnk
backup=c:\windows\pss\Punto Switcher.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ЎЎЎЎЎЎ.lnk
backup=c:\windows\pss\ЎЎЎЎЎЎ.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Запустить War3FT CS2.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Запустить War3FT CS2.lnk
backup=c:\windows\pss\Запустить War3FT CS2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon]
2009-12-11 11:25 287744 -c--a-w- d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
2005-12-06 09:08 20480 ----a-w- c:\windows\FixCamera.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Guard.Mail.ru.gui]
2010-10-23 17:22 992960 ----a-w- c:\program files\Mail.Ru\Guard\GuardMailRu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2007-12-20 08:13 7151616 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2010-10-23 17:22 12317376 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 11:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-10-04 08:14 8491008 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-10-04 08:14 1626112 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
2005-09-05 11:55 339968 ----a-w- c:\windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
2005-11-04 11:05 90112 ----a-w- c:\windows\tsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VistaIcon]
2008-01-02 10:52 132096 ----a-w- c:\program files\VistaDriveIcon\VistaDrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP
"11265:TCP"= 11265:TCP

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [23.10.2010 14:38 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [23.10.2010 14:38 41616]
R2 Guard.Mail.ru;Guard.Mail.ru;c:\program files\Mail.Ru\Guard\GuardMailRu.exe [23.10.2010 20:22 992960]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\drivers\m4cxw2k3.sys [15.02.2007 7:04 250752]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [30.11.2009 11:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [30.11.2009 11:27 110992]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [23.10.2010 14:47 212992]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.10.2010 12:43 691696]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13.11.2010 3:32 38224]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.inet123.ru/
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
Notify-WgaLogon - (no file)
MSConfigStartUp-UIUCU - c:\docume~1\SJ\LOCALS~1\Temp\UIUCU.EXE
AddRemove-HashTab 3.0.0 - c:\windows\system32\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 03:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1348)
c:\windows\system32\cscui.dll
c:\windows\system32\WININET.dll
c:\windows\system32\COMRes.dll
.
Completion time: 2010-11-13 03:56:45
ComboFix-quarantined-files.txt 2010-11-13 00:56

Pre-Run: 1*107*116*032 байт свободно
Post-Run: 1*137*389*568 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

- - End Of File - - D978D6E133EF6C09822CFFCD9E126EFA
Что делать, хелп...

Отправлено: 04:22, 13-11-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать

Добрый день!

Ваши файлы?
Код: Выделить весь код
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код: Выделить весь код
KillAll::

File::
c:\windows\system32\akbwofr.exe

Driver::

Folder::


Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"11265:TCP"=-

FileLook::
c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\ADSL.pbk

DirLook::


FCopy::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:58, 13-11-2010 | #3


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt ComboFix.txt
(9.6 Kb, 7 просмотров)

Спасибо, компьютер вылечен
Письмо отправил.

Отправлено: 15:23, 13-11-2010 | #4


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать

Лог чистый.
Так это ваши файлы?
Цитата Fedin:
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe »
Цитата Fedin:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »
Просканируйте.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:39, 13-11-2010 | #5


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать

Объединил темы.


Зачем на создавали три одинаковые темы ?

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .

Последний раз редактировалось iskander-k, 13-11-2010 в 16:43.

Отправлено: 16:27, 13-11-2010 | #6


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: txt mbam-log-2010-11-13 (16-45-00).txt
(1.2 Kb, 7 просмотров)

c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe » Происхождение этого файла мне не известно
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe » Мой файл

Лог Malwarebytes' Anti-Malware прикреплен, OTCleanIt запустил. Еще раз спасибо.

Отправлено: 17:02, 13-11-2010 | #7


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата:
Зачем на создавали три одинаковые темы ?

Видимо проблемы с интернетом вчера были, несколько раз нажал "Создать тему" и ничего не произошло, после чего открылась ошибка в опере, вроде 503. как удалить темы не нашел...

Отправлено: 17:05, 13-11-2010 | #8


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать

Цитата SK-93:
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe » Происхождение этого файла мне не известно »
Удалите

Смените все важные пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

-------

Последний раз редактировалось zirreX, 13-11-2010 в 18:06.

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:46, 13-11-2010 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [Решено]Очень интересный вирус

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
очень нужна ваша помощь. возможно ВИРУС kcenij Лечение систем от вредоносных программ 1 26-05-2010 13:28
[решено] очень сильный вирус Serepunka Лечение систем от вредоносных программ 14 09-11-2009 08:42
Очень интересный диск-как с него снять образ? lamamba Оптические приводы 1 30-10-2009 18:52
[решено] Ограничение использования "горячих кнопок" по времени... Очень интересный вопрос... sashadeg AutoIt 3 24-03-2009 10:38
Очень долгая загрузка WinXP; предположительно - вирус. Allla Лечение систем от вредоносных программ 9 31-05-2008 17:10


« Предыдущая тема | Следующая тема »


 
Переход