Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Китайцы атакуют? (http://forum.oszone.net/showthread.php?t=167992)

chrom-look 20-02-2010 13:19 1351849
Китайцы атакуют?
 
Аналогичная проблема (http://forum.oszone.net/thread-167953.html) Вчера вечером видно зашел на какой-то сайт, после чего антивирус стал выдавать сообщения что адрес заблокирован.


Заблокировал в файрволе этот ip, сообщения исчезли) А на антивирусные сайты не заходит. Помогите удалить заразу...Антивирус ничего не находит. Сам вручную нашел в папке system32 2 странных файла, пусто набор символов exe файлы. Стер их, не помогло...
P.S. Сам ESET не хочет обновляться с офф. сайта. Выдает ошибку.

Прощу прощения, по инструкции сделать ничего не могу, потому что из-за вируса мне эти файлы не скачать...

iskander-k 20-02-2010 14:52 1351904
chrom-look, Скачайте AVZ из моей подписи. И сделайте логи.

Далее

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

При удалении МБАМ - смотрите что удаляете.

chrom-look 20-02-2010 17:02 1352003
Вот логи AVZ.

Залейте плиз Malwarebytes Anti-Malware на депозит или другой обменник, потому что мне не скачать его тоже.

iskander-k 20-02-2010 17:11 1352005
Лог HijackThis где ?

Цитата:
Цитата chrom-look
Залейте плиз Malwarebytes Anti-Malware на депозит или другой обменник, потому что мне не скачать его тоже. »
Вот Скачать

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(false);
end.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

chrom-look 20-02-2010 17:26 1352018
Базы ни автоматом ни так не скачать. Не открывается сайт. Скиньте тоже куданибудь :)

iskander-k 20-02-2010 17:29 1352019
Лог HijackThis где ?

Цитата:
Цитата chrom-look
Базы не автоматом ни так не скачать. »
МБАМ ? делайте пока так без обновления .


А потом Gmer .

chrom-look 20-02-2010 17:37 1352024
Hijack лог.

Поставил на проверку МБАМ, о результатах скажу позже.

iskander-k 20-02-2010 18:11 1352042
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32755e7d21.exe,\?g lobalrootsystemrootsystem32YoC4q0q.exe,
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘| б—|к‘|ь2
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\755e7d21.exe','');
DeleteFile('C:\WINDOWS\system32\755e7d21.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

chrom-look 20-02-2010 19:11 1352082
Да погодите вы...Что мне сначала сделать то? Сейчас у меня идет проверка МБАМом, что делать после этого???

Drongo 20-02-2010 19:19 1352093
chrom-look, Привет. :)
Цитата:
Цитата chrom-look
Сейчас у меня идет проверка МБАМом, что делать после этого??? »
Потом лог Gmer
Цитата:
Цитата iskander-k
А потом Gmer . »
А потом советы из комментария 8

chrom-look 20-02-2010 19:31 1352105
Ок, ясно. Также хочу сказать, что искал утром как побороть эту заразу, нашел на каком-то сайте, что должны быть файлы в system32, и тот файл который в скрипте: "C:\WINDOWS\system32\755e7d21.exe" я его уже удалил, правда еще лежит в корзине. Мне его восстановить и проделать опперацию? Потом нашел файл в папке Prefetch под названием "ROUTE.EXE-371D32DE.pf". Его тоже удалил. Также был ехе файл в систем32: YoC4q0q.exe...

Drongo 20-02-2010 19:43 1352114
chrom-look, Вы сделаете лог gmer и все проблемные файлы мы увидим, не переживайте. Отпустим живого и здорового. :)

iskander-k 20-02-2010 19:52 1352123
chrom-look, Делайте всё по порядку . Не нужно перескакивать, а то и сами запутаетесь и нас запутаете. ))

chrom-look 21-02-2010 17:19 1352665
МБАМ лог

thyrex 21-02-2010 20:04 1352777
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\generic host for win32 services (Trojan.Agent) -> No action taken.

Заражено папок:
C:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Денис\Мои документы\Хлам\Для сайтов (взлом)\XRumep3\XRumep3\XRumep 3\control.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\ConnectionServices\Uninstall.exe (Trojan.BHO) -> No action taken.
C:\Program Files\ConnectionServices\Содержание OneNote.onetoc2 (Trojan.BHO) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

chrom-look 21-02-2010 21:13 1352818
да я уже все стер как мне сказали в посте на 1ой странице. Сейчас 4 часа длится проверка прогой GMER. Перед ней я выполнил скрипт в AVZ, после которого у меня все заработало! Антивирус обновился, на сайты заходит, файлы качает.

Drongo 21-02-2010 21:34 1352834
chrom-look, Это нужно для страховки, потому что в первых логах есть такая строка. А это kido.
Цитата:
>>> Подозрение на маскировку ключа реестра службы\драйвера "dutdccdcz"

chrom-look 21-02-2010 21:55 1352852
я понял)) Долго проверяется, наверно завтра вам отпишусь что с Gmer'ом и проделаю остальные операции!

chrom-look 22-02-2010 19:17 1353459
Вообщем манипуляции с Gmer'ом не увенчались успехом... 2 раза у меня вырубался комп, на 3ий раз (проверка длилась 9 часов), чтобы комп не вырубился я решил сделать в безопасном режиме. Была одная красная строка, связанная с svchost.exe. Лог сохранить не смог так как был в безопасном режиме... Щас сделал побыстрому, вот минилог, тут есть эта строка.
Приступаю к дальшейшим советам...

chrom-look 22-02-2010 19:22 1353465
Пофиксил 2 ключа в HiJackThis, 1ый и последний, второго и третьего не было.

Drongo 22-02-2010 19:58 1353501
Цитата:
Цитата chrom-look
Была одная красная строка, связанная с svchost.exe. Лог сохранить не смог так как был в безопасном режиме... Щас сделал побыстрому, вот минилог, тут есть эта строка. »
Увы, этого мало, так как тут только имя службы, но нет имён ключей в реестре и вредных файлов. Прогоните компьютер Quick Killer'ом - Quick Killer - GUI для консольных утилит Лаборатории Касперского - скачайте архив, распакуйте. Запустите программу Quick Killer.exe, установите переключатель в положение KidoKiller. Установите галочки напротив пунктов:

1. Записать в лог 'report.txt'
2. Удаление остатков служб оставшихся после вируса
3. По окончании не ждать нажатия любой клавиши...

Нажмите кнопку Выполнить. После окончания сканирования в директории откуда был запущен Quick Killer.exe появится файл report.txt прикрепите его сюда.

chrom-look 22-02-2010 22:35 1353603
Сделал. Вот лог.

Drongo 22-02-2010 22:57 1353617
chrom-look, Ну что ж. Значит у вас оставалась только служба. :) Она успешно удалена.
Цитата:
20:7:9:481 1712 Suspicious service deleted: SYSTEM\CurrentControlSet\Services\dutdccdcz
Как себя чувствует компьютер? Жалобы есть?

chrom-look 22-02-2010 23:07 1353623
Ну честно скажу да! Винде 3 года вроде, может "засорилась". Но все же. Были разные проблемы...Но я решал их через реестр... Последнее время ИНОГДА подвисает explorer.exe, приходится убивать и заново включать... В событиях бывают какие-то ошибки DCOM, но это по части виндоус уже... Что за dutdccdcz ума не приложу))) Вам наверно виднее будет) Так вроде все стабильно)


Время: 09:46.

Время: 09:46.
© OSzone.net 2001-