Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подхватил трояна и заблокировался выход в безопасный режим (http://forum.oszone.net/showthread.php?t=163109)

byaka 11-01-2010 14:10 1317163
Подхватил трояна и заблокировался выход в безопасный режим
 
Вложений: 3
Поймал зловреда. Выйти в безопасный режим не даёт. Прошелся сначала Malwarebytes' Anti-Malware, написало что трояны удалены, затем запустил AVZ 3й скрипт, после нахождения троянов и перезагрузки компа антивири вообще перестали загружаться. Пробил эту блокировку с помощью cureit, затем снова запустил AVZ, который показал опять наличие троянов. C:\Program Files\Common Files\Windows Live\.cache\25e19fac1c9b75c\fssclient_x86.msi/{MS-OLE}/\8 >>>>> Trojan.Kyjak C:\WINDOWS\Installer\103ff8.msi/{MS-OLE}/\7 >>>>> Trojan.Kyjak . Папку .cache очистил вручную, с папкой Installer что делать - не знаю. И в безопасный режим выйти не получается. Помогите вылечиться. Логи прилагаются

akok 11-01-2010 14:25 1317179
c:\program files\Зоркий Глаз\antivirь.exe - что это?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\Installer\103ff8.msi','');
 QuarantineFile('C:\Program Files\Yota Access\YotaAccessService.exe','');
 QuarantineFile('C:\WINDOWS\system32\fsproflt.exe','');
 QuarantineFile('c:\program files\msi\easyface logon\autolock\openchmap.exe','');
 QuarantineFile('d:\program files\networx\networx.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 ExecuteRepair(10);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

byaka 11-01-2010 14:33 1317192
Зоркий глаз - это простенький антивирь, блокирующий любой автоматический процесс с-на флешке. Кстати благодаря ему я и увидел что комп заражен

E-mpty 11-01-2010 15:29 1317253
Зоркий глаз

byaka 11-01-2010 15:54 1317276
С помощью скрипта пролез в безопасный режим...но вирус жив

Drongo 11-01-2010 20:22 1317540
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Как это сделать, подробно можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Installer\103ff8.msi','');
 QuarantineFile('C:\System Volume Information\_restore{0174A438-02C7-4F85-99A2-C740B2BCDB2C}\RP104\A0010329.msi','');
 DeleteFile('C:\System Volume Information\_restore{0174A438-02C7-4F85-99A2-C740B2BCDB2C}\RP104\A0010329.msi');
 DeleteFile('C:\WINDOWS\Installer\103ff8.msi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


Повторите логи.

byaka 12-01-2010 13:17 1318064
Всё предложенное выполнил, скрипты выполнил, но вирус жив

Drongo 12-01-2010 14:10 1318121
byaka, Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

byaka 12-01-2010 16:54 1318319
Вложений: 1
Сделал, прикрепляю

Drongo 12-01-2010 21:50 1318619
Попробуйте найти этот файлик и удалить. Он скрытый.
Код:
C:\Documents and Settings\1\ђ Ў®зЁ© бв®«\~WRL2646.tmp

byaka 15-01-2010 07:22 1320681
Нашел его на рабочем столе, удалил

byaka 15-01-2010 08:07 1320699
Но не помогло :(. Прикладываю лог avz после удаления и перезагрузки

byaka 16-01-2010 10:50 1321580
Ау, мастера! Не бросайте меня на пол пути :)
Кстати, этот троян создаёт у меня в папке общие документы исполняемый файл (опознаётся как программа-заставка) под видом папки с именем типа Кино, Книги, Видео....

iskander-k 16-01-2010 15:10 1321762
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Програма МБАМ - не любит креки.

• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

byaka 17-01-2010 18:25 1322816
Вложений: 2
После полного сканирования антималваром показало 5 зараженных файлов, но у меня по этому поводу большие сомнения, особенно с папкой SDFix, поэтому пока удалять не стал (это как уж Вы скажете). При сканировании гмером сначала стема критически ошиблась и перезагрузилась, затем на второй раз зависла в процессе, на 3й всё прошло. логи выложил

Drongo 17-01-2010 19:21 1322860
Цитата:
Цитата byaka
но у меня по этому поводу большие сомнения, особенно с папкой SDFix, поэтому пока удалять не стал »
Всё правильно, на эту утилиту ругаются антивирусы.
Лог gmer чистый, разве что спрошу, коллекция фотографий ваша?
Код:
...
D:\Фотки\с\с\??????????? 333.jpg
D:\Фотки\с\с\??????????? 347.jpg
D:\Фотки\с\с\??????????? 357.jpg
D:\Фотки\с\с\??????????? 450.jpg
D:\Фотки\с\с\??????????? 451.jpg
D:\Фотки\с\с\??????????? 452.jpg
D:\Фотки\с\с\??????????? 460.jpg
D:\Фотки\с\с\??????????? 470.jpg
D:\Фотки\с\с\??????????? 473.jpg
D:\Фотки\с\с\??????????? 478.jpg
...

byaka 17-01-2010 19:42 1322886
Да, фотки мои. Так как же мне вылечиться?

PS. Исполняемый файл (зловред) в общих документах поменял своё имя "Книги" на имя "ХХХ". Заманивает, зараза :)))))

snifer67 17-01-2010 20:19 1322929
У вас расшарена папка Общие документы ?

byaka 18-01-2010 05:38 1323160
Да, расшарена. Для wi-fi связи со вторым моим ноутом. Кстати, второй не заразился.

byaka 18-01-2010 08:28 1323188
Ну совсем весело :( Обновил сегодня avz и он вообще ничего не нашел, не смотря на то что зловред сидит в общих документах и не удаляется от туда

iskander-k 18-01-2010 09:01 1323200
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

byaka 18-01-2010 10:03 1323241
iskander-k, У меня ХР SP3 Home, где брать установочный файл для работы с комбофиксом? На майкрософте что-то не нахожу

akok 18-01-2010 11:53 1323310
CF сам предложит скачать нужный файл.

byaka 18-01-2010 12:49 1323353
Вложений: 1
Выполнил, лог прилагаю.
И в догонку вопрос: Если я подхватил зловреда и воспользуюсь восстановлением по iso-образу, когда комп был чистый, вирус будет злодействовать или нет?

akok 18-01-2010 13:19 1323376
Что с проблемами?

iskander-k 18-01-2010 13:21 1323378
Цитата:
Цитата byaka
воспользуюсь восстановлением по iso-образу, когда комп был чистый, вирус будет злодействовать или нет? »
Если у вас два локальных диска то вирус может быть и на втором диске. Если другие локальные диски чистые или у вас всего один диск то установка чистой копии избавит вас от проделок вируса. В большинстве случаев. А бывает и не помогает ... :)

byaka 18-01-2010 14:03 1323414
Зловред пропал из общих. Всем огромное спасибо!!! При загрузке системы комбофикс добавил выбор консоли. Оставлять или при деинсталяции комбо она тоже уберётся?

akok 18-01-2010 14:12 1323423
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Как удалить консоль восстановления Windows XP


Время: 10:16.

Время: 10:16.
© OSzone.net 2001-