Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Порно баннер+win32.kido.ih+трояны ((((( (http://forum.oszone.net/showthread.php?t=159884)

Nightslim 11-12-2009 14:28 1292527

Порно баннер+win32.kido.ih+трояны (((((
 
Вложений: 1
История болезни такова:
Изначально был подцеплен порно-баннер, который занимал пол страницы браузера (Opera) и просил отправить SMs и тд. Далее перестали отображаться и загружаться любые страницы, хотя подключение к сети есть и оно активно. Ссылается на то, что невозможно найти удаленный сервер . При чем запрашиваемый сайт например yandex , внизу дублируется фразой : Вы попытались получить доступ к адресу: http: freepornokino.info/fcontent.ru/index…..Не дает скачивать обновления, не дает зайти ни в один ICQ пейджер. Пробовал ставить Megafon Internet ( в качестве другого провайдера) , но ситуация та же самая.
При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. C:\ Documents and Settings\ Andrey\ net start haspnt
После этого появляется окно сетевых подключений со следующей надписью : Вы или программа попытались запросить информацию с mrim.mail.ru (или как вариант с smilekand). Выберите подключение.
Еще одна странность: При нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку запускается Windows Installer и пытается установить пакет установки FineReaderEdition.msi. Пишет, что нужный ресурс находится на сетевом ресурсе, который сейчас недоступен.

Борьба заключалась в следующем:
1) Установлен Kaspersky 2010 и Tune Up Utilities. Kaspersky нашел около 20 вирусов, среди которых был Win32.Kido.ih . Очищен реестр, проведены все возможные оптимизации системы.
2) Установлен CCleaner и Nod 32. Последний нашел еще пару вирусов и убил их.
3) Установлен Zone Alarm и Trojan Remover
4) Установлен KidoKiller v 3.1 и KK последней версии
5)Установлен Dr.Web
6) Установлен WinsockFix
7) Установлен Atf-Cleaner ( ссылается, что невозможо очистить временные файлы Opera).
8) Установлены все заплатки для Windows , рекомендуемые при Win32.Kido.ih
Потерял надежду исправить все своими силама. С нетерпением жду помощи профессионалов.
P.S. : Логи отправляю с другого компьютера, тк зараженный не имеет выхода.
Стоят два браузера IE и Opera. Логи записывались при открытом окне IE. Не знаю имеет ли это значение или нет.

iskander-k 11-12-2009 16:55 1292684

Сделайте ещё этот лог.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Nightslim 11-12-2009 19:51 1292802

Malwarebytes' Anti-Malware 1.42
Версия базы данных: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.12.2009 19:50:15
mbam-log-2009-12-12 (19-50-15).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 246084
Прошло времени: 45 minute(s), 35 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 9
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 15

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bc656258-2f9d-4448-94a8-ff8c551ba3fb} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{533bbe22-df4d-4f55-bfc1-30cb5d7e4607} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{557bbc12-0937-4263-8205-b424f51618ca} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\dfshimrt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.
D:\distr\Nero 6.0\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\distr\Кодеки и плееры\Winamp_5.3\Crack\Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully.

Перезагрузился. Без изменений. Проблема осталась.

iskander-k 11-12-2009 22:55 1292939

Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Как работать с утилитой CureIT! можно прочитать в теме - Как лечить файловый вирус

1. Скачиваем VundoFix на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
2. Как работать с программой читаем в теме - Как удалить Vundo?

На тот редкий случай, когда VundoFix вдруг не может помочь:
1. Скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим: Читать ниже по тексту - На тот редкий случай, когда VundoFix вдруг не может помочь.

iskander-k 11-12-2009 23:30 1292970

Далее ...

  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
 SetAVZGuardStatus(True);
 SetAVZPMStatus(True);
 SetServiceStart('REMOVE', 4);
 StopService('REMOVE');
 QuarantineFile('C:\WINDOWS\system32\drivers\REMOVE.SYS','');
 QuarantineFile('C:\WINDOWS\system32\dfshimrt.dll','');
 QuarantineFile('C:\WINDOWS\Installer\7ec52.msi','');
 DeleteFile('C:\WINDOWS\system32\dfshimrt.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\REMOVE.SYS');
 DeleteFile('C:\WINDOWS\Installer\7ec52.msi');
 DelBHO('{1DFA2A6E-3CB3-4141-A96F-D42244A6B50E}');
 DeleteService('REMOVE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
executerepair(2);
executerepair(6);
executerepair(8);
executerepair(4);
executerepair(13);
executerepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:

O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll
И удалите лишние антивирусы - у вас на системе должен быть один антивирус. Несколько установленных антивирусов это не хорошо для системы. Будут друг другу мешать работать.

Nightslim 13-12-2009 20:23 1294445

Скрипты выполнил, ничего не изменилось.
O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll - вот эта строчка при скане в HiJackThis отстутсвует. Фиксить нечего.

iskander-k 13-12-2009 20:55 1294474

Сделайте новые логи.

и

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Nightslim 14-12-2009 12:05 1294901

Вложений: 1
Лог от GMER :

Код:

GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-15 12:00:02
Windows 5.1.2600 Service Pack 3
Running: 44x9urbp.exe; Driver: C:\DOCUME~1\86A9~1\LOCALS~1\Temp\fwnoafow.sys


---- System - GMER 1.0.15 ----

INT 0x06        \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab)                                                                                                      F7AA383B
INT 0x0E        \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab)                                                                                                      F7AA3780

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                                                                                  eamon.sys (Amon monitor/ESET)

Device          \Driver\Tcpip \Device\Ip                                                                                                                                                                                vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                                                                                epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\Tcp                                                                                                                                                                                vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                                                                                epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\Udp                                                                                                                                                                                vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                                                                                epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\RawIp                                                                                                                                                                              vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                                                                              epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                                                                                                        vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                        1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                          1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                      1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4  1?2?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                1?
Reg            HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n  1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                            1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                              1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                          1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                    1?
Reg            HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n      1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                            1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                              1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                          1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?2?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                    1?
Reg            HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n      1?

---- EOF - GMER 1.0.15 ----


С группы поддержки Kaspersky был получен следующий ответ: В присланном Вами файле не найдено ничего вредоносного.

Drongo 15-12-2009 21:14 1296131

Nightslim, Давайте попробуем эти средства:

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.\nКак использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

iskander-k 15-12-2009 21:22 1296137

Цитата:

Цитата Nightslim
При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. »

Судя по этому у вас установлен крек для 1С. Использование эмулятора ключа Hasp, нарушает права 1С,
Вы устанавливали этот эмулятор ?
И скорее всего эта проблема у вас появилась после установки этого крека.

Nightslim 16-12-2009 16:31 1296845

Вложений: 1
2 Drongo: Лог от SDFix прикрепляю.

При запуске ComboFix пишет следующее: ComboFix is Offline

2 Iskander-k: 1C была установлена , но сейчас не стоит. Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера.

Nightslim 16-12-2009 16:40 1296857

Прикрепляю скрины, посмотрите. Первый при занрузке, второй при попытке загрузить страницу.

Nightslim 16-12-2009 17:38 1296921

Еще одна странность. При попытке очистить временные файлы и историю Opera - ATF Cleaner'om, последний ссылается что ни один файл не был удален (No files were removed). После деинсталляция Opera и установки новой версии, вся история сохранена, как будто ничего не чистили и не удаляли.
С IE таких проблем нет.

iskander-k 16-12-2009 17:46 1296931

Цитата:

Цитата Nightslim
Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера. »

Удалите всё что касается этого крека - все его файлы. Возможно он заражен. Так как придраться больше не к чему.
Если не не получиться удалить штатными средствами скажите. Удалим через скрипт.

Nightslim 16-12-2009 17:49 1296936

Еще один скрин при появлении Окна с просьбой о подключении + Диспетчер задач!

Nightslim 16-12-2009 17:58 1296943

При появлении окна сетевых подключений, в диспетчере задач появляется вот этот процесс - rasautou.exe - что это?
2 Iskander-k: Удалить всю папку где он находится? Или только startnt.bat ?

iskander-k 16-12-2009 17:59 1296944

ONLine- проверка
http://www.pcpitstop.com/default.asp

Онлайновые антивирусы

Я как раз смотрю что у вас в диспетчере.

rasautou.exe (Remote Access Dialer) - У нормального должен быть размер 11 776 байт.


попробуйте - http://vil.nai.com/vil/stinger/
Ad-Aware SE! - http://www.lavasoftusa.com/default.shtml.ru
Tauscan

Nightslim 16-12-2009 18:03 1296950

Online проверка не получится, тк компьютер не заходит ни на один сайт(см. фото SDC10513 JPG).

iskander-k 16-12-2009 18:21 1296968

У вас был установлен ZoneAlarm ?

Проверьте vsmon.exe. Если он от ZoneAlarm то должен быть в C:\WINDOWS\system32\ZONELABS\

Nightslim 16-12-2009 18:23 1296969

Да, Zone Alarm был. Сейчас идет проверка вот этой прогой: http://vil.nai.com/vil/stinger/
Каким образом проверить vsmon.exe?

iskander-k 16-12-2009 18:27 1296973

Цитата:

Цитата Nightslim
Каким образом проверить vsmon.exe? »

Проверить можно (если зайдёте на сайт)
http://www.virustotal.com/ru/

И поищите где он находится . Раз его у вас нет то почему он висит в процессах ? Под таким именем ещё троянцы прячутся.

Nightslim 16-12-2009 18:46 1296986

Записал vsmon.exe на диск , проверил на вышеуказанном сайте. Вот ответ:

Файл уже проанализирован:
MD5: f8c283ca4f542283b36b6a09e7362e16
First received: 2009.10.20 01:57:17 UTC
Дата: 2009.10.24 20:45:04 UTC [>52D]
Результаты: 0/41
Permalink: analisis/6f896dd63e10e16540ad92932d4e044541c5f78f6b00bcba2107e30229aede4d-1256417104

А находится vsmon.exe как раз там где вы указали.

Сейчас идет проверка Stringer. Отчет выложу сразу после проверки Ad-Aware.

Nightslim 16-12-2009 19:42 1297020

И еще вопрос: Почему "не чистится" Opera ???

Drongo 16-12-2009 20:04 1297044

Цитата:

Цитата Nightslim
Отчет выложу сразу после проверки Ad-Aware. »

Лучше выкладывать ссылки на проверку. Просто скопируйте после проверки, адрес на страничку из адресной строки.

Nightslim 17-12-2009 13:42 1297631

Вложений: 1
На данный момент ситуация такая:
1) Антивирус Stringer не обнаружил ни одной вредоносной программы.\
2) Антивирус Ad-Adware при Full Scan обнаружил 8(восемь) вредоносных программ. Лог выкладываю.
3) Сейчас идет проверка Outpost Antivirus Pro.

Дублирую вопрос: Почему не чистится Opera ???

Nightslim 18-12-2009 09:21 1298298

Вложений: 1
Outpost Antivirus нашел еще три вредоносные программы. Одна из которых сидела в процессах.

iskander-k 18-12-2009 12:53 1298447

Цитата:

Цитата Nightslim
Одна из которых сидела в процессах. »

Это от утилиты "sdfix" (c:\sdfix\apps\process.exe) - так что это ложное срабатывание.
Два других в архивах системы восстановления.


Вы остатки от Zone Alarm и от крека для 1С - удалили ?



•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Nightslim 18-12-2009 14:47 1298567

Заработал IE. Но ни один другой браузер работать не хочет + при нажатии правой кнопкой мыши стала появляться следующая строка: Abby FineReader 8.0 Prof.Edition. Внутренняя ошибка 2753. InstallTools.dll.
Вообще никак не удаляется , ни при помощи средств Windows , ни при помощи Your Uninstaller ( вообще не видит , что AbbyFineReader установлен)

Nightslim 18-12-2009 15:08 1298585

Вложений: 2
Логи от RSIT

Не запускается ни один пейджер : ни ICQ, ни Mail Agent, ни Qip... Пробовал переустанавливать, результат тот же. Не заходит.

Nightslim 20-12-2009 16:49 1299995

Нет идей?? Может решить проблему Format C: ?

E-mpty 21-12-2009 10:57 1300570

Цитата:

Цитата Nightslim
Может решить проблему Format C: ? »

Не, не надо :)

Запустите AVZ, меню - файл - выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('c:\windows\system32\nwprovau.dll');
DelCLSID('02d26d59-bd87-11dd-95ae-00112f8aaa12');
DelCLSID('47aa3bec-34e5-11de-967a-00112fa63572');
DelCLSID('bc269594-5ad9-11dd-9493-00112f8aaa12');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Полечите систему по этой инструкции.

Повторите лог RSIT

Nightslim 21-12-2009 11:50 1300607

Вложений: 1
Скрипт выполнил.

Новый лог от RSIT:

Nightslim 21-12-2009 11:56 1300614

Никаких изменений после выполнения скрипта :((

E-mpty 21-12-2009 15:18 1300771

Попробуем такой вариант:

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:

:Processes
:Services

:Files
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
  00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Запустите HijackThis, поставте галочку напротив :
Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
нажмите FixChecked

Скачайте и установите SUPERANTISPYWARE, запустите пусть просканирует систему, отпишитесь о результате проверки.

З.Ы. KidoKiller запускали или нет?

Nightslim 21-12-2009 15:22 1300776

Да, КК запускал несколько раз. В разных режимах. Ничего вредоносного не находит. Заплатки поставил.

Nightslim 21-12-2009 15:57 1300806

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\"Authentication Packages"|hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,00 /E : value set successfully!
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47aa3bec-34e5-11de-967a-00112fa63572}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Андрей
->Temp folder emptied: 112195314 bytes
->Temporary Internet Files folder emptied: 5039707 bytes
->Opera cache emptied: 5613465 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
Windows Temp folder emptied: 2947624 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23931996 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2372722981 bytes

Total Files Cleaned = 2*408,00 mb


OTM by OldTimer - Version 3.1.3.0 log created on 12222009_153325

В HijackThis такой строчки нету.

Nightslim 21-12-2009 17:46 1300907

SUPERANTISPYWARE нашел три вредоносных программы:

1) Adware. Tracking Cookie
2) Trojan. Agent/ Gen-Data Keeper (C: Documents and Settings\Андрей\DOCTORWEB\QUARANTINE\AONDPFQR.dll
3) Trojan. Agent/ Gen-Nulo {Short} (D:System Volume Information\_Restore{BD7490AA-85B3-49D0-A699-9EDBCA021330}\RP80\A0025080.EXE

sanek_freeman 21-12-2009 18:03 1300919

  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Nightslim 21-12-2009 18:48 1300952

sanek_freeman, данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз???

sanek_freeman 21-12-2009 20:26 1301030

Цитата:

Цитата Nightslim
данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз??? »

Я знаю, что они делались неоднократно. Но ведь и после логов были предприняты действия. В общем, делайте в такой последовательности: Предварительные действия -> МВАМ -> ComboFix ->RSIT. И выкладывайте логи.

Nightslim 21-12-2009 20:36 1301041

ок.

При попытки очистить ATF временные файлы Opera , выдается следующее сообщение: No files were removed.
Это как-то странно.

E-mpty 21-12-2009 22:30 1301148

Цитата:

Цитата Nightslim
При попытки очистить ATF временные файлы Opera , выдается следующее сообщение: No files were removed.
Это как-то странно. »

Очистите с помощю CCleaner

Nightslim 21-12-2009 23:30 1301181

Вложений: 4
Выкладываю логи:

sanek_freeman 22-12-2009 08:48 1301405

Nightslim, по логам вроде чисто. Проблемы остались?

Nightslim 22-12-2009 11:07 1301491

Да, на данный момент не работает ни один брауезер , кроме IE. При попытке зайти через Opera пишет, что невозможно подключиться к FREEPORNOKINO.INFO. Не заходит ни в один ICQ пейджер. Не дает делать обновления антивирусам.

+ при нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку стала появляться следующая строка: Abby FineReader 8.0 Prof.Edition. Внутренняя ошибка 2753. InstallTools.dll.

E-mpty 22-12-2009 11:28 1301504

Nightslim,Попробуйте скачайте и запустите утилиту LSPFix, также скачайте и пройдитесь по системе программой SpyWareBlaster , сообщите о результатах.

Nightslim 22-12-2009 12:22 1301538

LSPFix - No problems were found.
SpyWareBlaster - включил всю защиту, с последними обновлениями. Но ничего не изменилось.

Могу еще раз выложить скрины Opera. И ошибки аси, с агентом.

E-mpty 22-12-2009 12:45 1301554

Поудаляйте лишнее антивирусное ПО, оставте только один антивирус и утилиты для лечения (ComboFix,Avz,Rsit,HijackThis...) Попробуйте еще проверить компютер этой
программой. распакуйте архив в любую папку, запустите файл a2free.exe, обновите базы,потом выберите ScanPC - DeepScan - Scan.(есть русский язык). Сохраните лог работы программы и прикрепите к следующему сообщению, также не удаляйте все сразу одним нажатием, перед удалением посмотрите что это за файлы и пути к ним, а то можна потерять что-то важное...

akok 22-12-2009 13:59 1301611

Combofix скачайте еще раз.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::

Driver::
okfehok
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9710:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Nightslim 22-12-2009 17:43 1301792

Вложений: 1
E-mpty, выкладываю лог:

Nightslim 22-12-2009 18:07 1301808

Вложений: 1
akok, выкладываю лог:

akok 22-12-2009 18:41 1301838

c:\windows\Installer\57f869.msp - проверьте на VT

Больше не вижу к чему придраться.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up



Проблемы остались?

Nightslim 23-12-2009 13:57 1302461

akok, да, все как и было так и осталось.

sanek_freeman 23-12-2009 22:15 1302890

Цитата:

Цитата Nightslim
да, все как и было так и осталось. »

Да уж, тяжелый у вас случай... Надеюсь в вас еще есть дух оптимизма? ;)

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Сделайте эти логи. Попробуем еще чуть-чуть поколдовать :)

Nightslim 23-12-2009 22:21 1302899

sanek_freeman, Спасибо за поддержку :) Оптимизм как-то начинает меня покидать)) Завтра выложу логи.
Может еще поколдуем и над ошибкой Abby Fine Reader?? Я еще выше описывал....


Время: 20:01.

Время: 20:01.
© OSzone.net 2001-