Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Процесс system выполняет ежесекундные запросы к разным IP (http://forum.oszone.net/showthread.php?t=193595)

creative84 10-12-2010 18:12 1562780
Процесс system выполняет ежесекундные запросы к разным IP
 
msvmiode.exe + цифровые exe не дают покоя

Alex1983 10-12-2010 18:31 1562791
Сейчас посмотрим.

Alex1983 10-12-2010 19:43 1562824
Здравствуйте creative84,

Проверьте файл c:\docume~1\$$$\locals~1\temp\_ir_tu2_temp_0\irzip.lmd на Virustotale Ссылку на результат прикрепите в следующем сообщение.


•У вас старая версия HiJackThis ( 2.0.2). Скачайте HiJackThis(2.0.4). Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cwdrive32.exe
F3 - REG:win.ini: load=???
F3 - REG:win.ini: run=???
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\cwdrive32.exe');
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\documents and settings\$$$\application data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
 QuarantineFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll','');
 QuarantineFile('C:\Program Files\Common Files\AdobeARMS.exe','');
 QuarantineFile('C:\WINDOWS\system32\48.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe','');
 QuarantineFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe','');
 QuarantineFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.exe','');
 DeleteFile('C:\WINDOWS\cwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll');
 DeleteFile('c:\recycler\s-1-5-21-9144973525-0824937566-791162625-6846\syscr.ex');
 DeleteFile('c:\documents and settings\$$$\application data\ltzqai.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP19\A0012703.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP28\A0019066.exe');
 DeleteFile('C:\System Volume Information\_restore{CDC14701-F81F-474F-B27A-F7101AF3B324}\RP38\A0023999.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\Program Files\Common Files\AdobeARMS.exe');
 DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Для отмены автозапуска выполните скрипт:
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Повторите логи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Внимание:
1. Обновите Windows XP SP 2 до SP3 ссылка по требуется повторная активация.
2. Поменяйте все пароли.

creative84 10-12-2010 21:29 1562900
всё выполнил. посмотрите

iskander-k 10-12-2010 23:39 1562968
Удалите все что нашел МБАМ.

Alex1983 11-12-2010 16:06 1563312
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys','');
 QuarantineFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\WINDOWS\cwdrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe','');
 QuarantineFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\vdqyndqx.sys');
 DeleteFile('C:\Documents and Settings\$$$\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\System32\drivers\jbcbtqy.sys');
 DeleteFile('C:\WINDOWS\cwdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe');
 DeleteFile('C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_QrSvc('nxcskux'); 
 BC_DeleteSvc('nxcskux');
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

Повторите логи.

Что спроблемой?

Обновите Windows XP SP 2 до SP3 ссылка по требуется повторная активация.

creative84 15-12-2010 17:59 1566602
Все выполнил, проблема осталась. Вроде сначала затишье, а потом снова начинается

Alex1983 16-12-2010 15:51 1567300
Цитата:
Цитата Alex1983
Повторите логи. »

creative84 17-12-2010 18:55 1568287
Логи AVZ

creative84 18-12-2010 15:15 1568850
Откуда то пролазят цифровые exe. Где то, видимо, дыра. Потому что лечишь, удаляешь , а они на след. день снова. SP2 до 3 не обновляю из возможной блокировки.

creative84 20-12-2010 17:42 1570569
Что посоветуете?

creative84 21-12-2010 18:08 1571412
Кто-нибудь ответит?

zirreX 21-12-2010 18:32 1571432
Цитата:
Цитата creative84
Что посоветуете? »
Подготовьте логи AVZ и RSIT.

Установите Service Pack 3, иначе лечить бесполезно!

creative84 06-01-2011 17:45 1582320
Вложений: 2
Здравствуйте. Посмотрите, пожалуйста, логи. Только что обновился с SP2 до SP3

zirreX 06-01-2011 18:24 1582360
Добрый вечер!Подготовьте лог ComboFix.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Внимание! Если у вас установлен Webmoney Keeper - сохраните ключи в файл!

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

creative84 06-01-2011 19:34 1582407
Вложений: 1
Лог ComboFix.txt - посмотрите

zirreX 06-01-2011 19:58 1582421
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
C:\WINDOWS\gwdrive32.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe
C:\DOCUME~1\$$$\LOCALS~1\Temp\4844.exe
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
c:\windows\cwdrive32.exe
c:\windows\system32\msvmiode.exe


Driver::

Folder::


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Driver Setup]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSODESNV7]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\12CFG214-K641-12SF-N85P]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\$$$\LOCALS~1\Temp\8130513.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\7653.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\219.exe"=-
"C:\DOCUME~1\$$$\LOCALS~1\Temp\4844.exe"=-


FileLook::

DirLook::


FCopy::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите Fix Checked.
Код:
F3 - REG:win.ini: load=????
F3 - REG:win.ini: run=????
Подготовьте лог RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите Adobe Reader до последней версии.

Nod32 2.7 - версия морально устарела.

creative84 06-01-2011 20:49 1582454
Вложений: 3
Выполнил. ComboFix .Больше отчетов выдавать он не захотел. Решил вручную проверить наличие указанных файлов в тексте. Ни одного обнаружено не было. Чувствуется, что система стало работать как новая. Автозагрузка обновилась. Раньше выдавала ошибку. В папке Local порядок. Ничего подозрительного в системе теперь не нахожу.

zirreX 06-01-2011 21:25 1582497
Больше зловредов в вашей системе не вижу.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

zirreX 06-01-2011 22:05 1582524
Лог ComboFix подготовьте по инструкции.
Пожалуйста не пренебрегайте правилами, отключайте ваш антивирус на время работы ComboFix.


Время: 13:06.

Время: 13:06.
© OSzone.net 2001-