Вирус блокирует браузеры
 

Вирус блокировал все браузеры. После выполнения скриптов полегчало. Выкладываю логи с зараженного компа, но думаю, что что-то еще осталось. В Outposte видно, что какойто "n\a" порцесс создает трафик и svchost лезет по адресу 77.44.0.2(3)

Перед выполнением скрипта временно отключите защитное ПО (Outpost). Включите брандмауэр Windows

Выполните скрипт в AVZ
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В теле письма укажите ссылку на тему

2. Пофиксить в HiJack
Повторите все логи

levantin, после выполнения инструкций thyrex повторите логи.

thyrex, посмотри в ПМ.
С семейством Tdsserv надо бороться дополнительно другими утилитами.

levantin, Рекомендую временно деинсталлировать Outpost, т.к. он может помешать как работе AVZ, так и др. утилит, временно включите брандмауэр windows.
Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) - строки не было

levantin, скрипт был несколько обновлен (судя по всему поздновато). Попробуйте его выполнить еще раз. И выполните рекомендации Pili в посте №4 (перед Вашим последним сообщением). А потом весь набор логов (AVZ, HiJack делать в последнюю очередь) выкладывайте

levantin, вы ещё и логи старые выложили из лога virusinfo_syscure.zip 1-го поста
Из лога 5-го поста
Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix
Лог SDFix. Остальное следует

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

levantin, будьте внимательны. Вас просили
и выложить все логи, а не приводить выдержки из одного из них

Malw: Дата 01\04\09, Версия 1616, загруж отпечатков 65445 и больше не обновляется

Повторяю логи

levantin, МВАМ можно обновить отдельно - downloading the update MBAM
Ещё раз, делайте по порядку.

Вроде бы все сделал

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Лог SDFix не полностью выложили.
Зря не повторили, сами себе не хотите помочь, теперь лечение будет дольше (и логов больше собирать), и outpost не удалили... Если скрипт не выполнится, придется удалить и заново логи делать.
d:\antivir\SDFix\SDFix\RunThis.bat - непонятно зачем в автозагрузку поставили, если SDFix до конца отработал, его там не должно быть.
Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

OTListIt2 - уже 3 часа загружает процессор на 100%, и в строке состояния пишет scanning cdrom autorun settings... Может что-то не так?

levantin, OTListIt2 быстро отрабатывает, outpost удален?

Да, ОР удален, сканирование закончилось, выкладываю логи

levantin, В логах чисто.
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru
Вложите в архив также файл C:\SDFix\backups\backups.zip
Затем деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt и нажмите CleanUp!
Проверьте пуск-выполнить-cmd - если русские буквы некорректно отображаются, примените твик реестра (сохраните как fix.reg и примените)
Проблемы ещё наблюдаются?

После чистки запустил антивирусник. NOD32 нашел:

C:\Documents and Settings\catchme.zip »ZIP »TDSSoeqh.dll - Win32/Agent.ODG троян
D:\autorun.inf - Win32/Tifaut.C червь
D:\hjqffk.exe »AUTOIT »script.au3 - Win32/Packed.Autoit.Gen приложение

levantin, ни в одном логе нет TDSSoeqh.dll (сервис удален ранее утилитой combofix), D:\autorun.inf и D:\hjqffk.exe
catchme.zip д.б. от combofix (м.б. ещё от gmer). Автозапуск отключали, брандмауэр windows включен?
Если остались проблемы, сделайте ещё раз логи по правилам.

Повторяю логи

По проблеме, что происходит, если вы запускаете IE или firefox? Какие сайты не открываются?
Неизвестно как вы его удалили, если C:\Program Files\Agnitum\Outpost Firewall\kernel\Sandbox.SYS работает, вероятно он и блокирует работу браузеров, т.к. по логу AVZ чисто.
По логам
Отключите автозапуск со съемных носителей
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Если Agnitum Outpost деинсталлируете, включите windows firewall
C:\WINDOWS\system32\DRIVERS\tcpip.sys - заменяли?
Обновите Adobe Acrobat
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Из лог HJT
Сделайте лог свежей версией HiJackThis - в правилах это есть.
Если проблема останется, попробуйте деинсталлировать антивирус, а также:
Скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

C:\WINDOWS\system32\DRIVERS\tcpip.sys - как заменить

А что, SP3 не заменил этот файл?

У меня нет возможности Поставить SP3, тк интернет - модем и широкополосный по 2р\Мb. Рекомендации из первой половины предыдущего поста выполнил. Проверку RR и RSIT постараюсь сегодя вечером. Лог HJ до проверки?

levantin, в таком случае возьмите файл с чистой системы или выполните sfc /scannow, потребуется установочный диск, рекомендую найти и установить SP3 и все последующие обновления.
Вместо лога HJT лучше сделайте лог OSAM. Скачайте и запустите OSAM , дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню программы (кнопка "Save Log"):
Сохраните отчет в текстовом формате (в формате .log), и скопируйте содержимое в следующее сообщение или запакуйте лог и вложите в сообщение.

Сайты уже все открываются и в IE, и в Опере в тч с антивирусными программами

levantin, тогда какая проблемы ещё наблюдаются, связанные с вирусами?

Выкладываю логи. Посидеть за компьютером и посмотрерь как работает по лучить ся не раньше понедельника. Пока с интернетом все нормально.

По этим логам тоже ничего плохого.
Вы выложили в 21 посте логи, но ничего не сказали о существующей проблеме, как она проявляется? Опишите проблему.

Браузеры заработали уже после первого дня чистки, но не понятный "n\a" процесс так и остался и периодически генерирует небольшой трафик. Причем для него невозможно установить ни одно из правил разрешения\блокировки ни по адресам, ни по портам - свойства недоступны.
Процесс svchost так и лезет по адресам 77.44.0.2 и 77.44.0.3 и тоже обменивается трафиком, причем его можно заблокировать средствами ОutРostv4.0, но тогда блокируется интернет. Впрочем насчет svchost у меня нет 100% уверенности, может это прога какая, но раньше этого не было. И потом, если я хочу заблокировать какой либо программе выход в интернет остальные-то не должны блокироваться.
А насчет n\a я как-то даже и не сомневаюсь. Деструктивных функций никаких не наблюдается кроме трафика, иногда правда очень активного. Да и как-то не чень приятно знать, что тебя используют. Для наглядности прикладываю скриншот. На форуме OutPosta ничего подобного не нашел. Попробую потом тему открыть - спросить у людей.

Это вам ни о чем не говорит?
Если остались подозрения на наличие вирусов, сделайте новые логи по правилам, outpost временно деинсталлируйте и включите брандмауэр windows.

Ни о чем не говорит.

И вообще - финал такой получается:
22.04 в компе утром не оказалось сетевых подключений ни локалки, ни инета и расшаренных принтеров. Установка новых невозможна - толи служба недоступна, толи что-то отсутствует, сейчас уже не помню точно. Хотел восстановить реестр из файла сделанного при помощи AusLogics BoostSpeed - система отказалась загружаться. Вообщем отформатировал диск С и т.д. Хотел как лучше, аполучилось как всегда. Пока так стоит работает. Я так думаю, что и остальные компы локалки - через которые нет выхода в инет - надо от локалки отсоединять и чистить, только времени на это не хватает. А эту ветку пора закрывать.

Это точно не результаты лечения, все последние логи были чистые. Вероятно outpost вы все таки оставили и проблема была в нем (настройки, блокировка dll (если их обновления были) и пр.)Ок.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил