Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Пк просит сохранить файлы (вредоносные) (http://forum.oszone.net/showthread.php?t=201082)

Kinqui 04-03-2011 11:31 1627047
Пк просит сохранить файлы (вредоносные)
 
что за фигня творится? Каждый раз просит комп сохранить какой то файл а нод32 отвечает трояном. Недавно просил загрузить smileycentral.exe файл нод32 визжал сейчас вообще какой то antichitPRO.exe просит сохранить на что антивирус тоже визжит. Помогите . хз что делать( я не сам сохраняю эти файлы а они через рандомный промежуток времени сами вылезают и просят сохранить файл

Vadikan 04-03-2011 11:52 1627065
Цитата:
Цитата Kinqui
что за фигня творится? »
И я вот тоже не пойму... http://forum.oszone.net/thread-98169.html

iskander-k 04-03-2011 13:35 1627117
Цитата:
Цитата Kinqui
что за фигня творится? »
Цитата:
Цитата Kinqui
хз что делать »
Воздержитесь от нецензурных выражений ! И выложите логи по приведенной в предыдущем посте ссылке.

Kinqui 05-03-2011 12:16 1627719
Итак начнем. Вчера скачал и запустил в 12 часов дня Dr.web. Проверялся он до 3 часов ночи (полная проверка) Нашел вирусы из них был SmileyCentral.exe полегчало как то мне. Сегодня опять какая то фигня вылезла смотрите

Скачал я АВЗ сделал логи вот они.

virusinfo_syscure.zip - http://rghost.ru/4633896
virusinfo_syscheck.zip - http://rghost.ru/4633900

Лог HiJackThis - http://rghost.ru/4633910

Жду ответа\помощи

Заметил что скрины не видны тогда они тут

1) http://rghost.ru/4633206.view
2) http://rghost.ru/4633210.view

SolarSpark 05-03-2011 14:05 1627817
Обновите Internet Explorer до IE8

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

1) Это ваше в процессах?
Код:
c:\docume~1\user\locals~1\temp\vcheck.exe
c:\docume~1\user\locals~1\tempimg\vercontrol.exe
проверить файлы на http://www.virustotal.com
Код:
c:\program files\common files\akamai\netsession_win_dbc0250.dll
C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys
ссылки на результат запостить сюда в тему

2) C:\Program Files\Pazera Toolbar\Toolbar.dll
freevideomaster Toolbar
- Тулбары сами устанавливали?

3) диск E - CDROM?
Вы при проверки забыли там диск или оставили его намеренно для проверки?

Отключаю вам автозапуск с носителей

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('E:\valve\!hlae.exe','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys','');
 QuarantineFile('C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys','');
 QuarantineFile('c:\program files\common files\akamai\netsession_win_dbc0250.dll','');
 QuarantineFile('c:\docume~1\user\locals~1\tempimg\vercontrol.exe','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\vcheck.exe','');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
Пофиксить в HijackThis следующие строчки:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
O3 - Toolbar: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: ,
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Kinqui 05-03-2011 14:22 1627831
maniy77,
Цитата:
Цитата maniy77
1) Это ваше в процессах?
Код:
c:\docume~1\user\locals~1\temp\vcheck.exe
c:\docume~1\user\locals~1\tempimg\vercontrol.exe »
А как узнать мое это или нет ? )

SolarSpark 05-03-2011 14:26 1627833
Цитата:
Цитата Kinqui
А как узнать мое это или нет ? ) »
мне тоже это интересно: ваше это или зловред.. проверьте файлы на
Код:
http://www.virustotal.com
ссылку на результат сюда
для инфо:
vcheck.exe создан: 02.03.2011 17:51:32
vercontrol.exe создан: 04.10.2010 20:46:12,
вспоминайте, что устанавливали

Kinqui 05-03-2011 14:30 1627836
maniy77, Я так не вспомню что я устанавливал тогда

SolarSpark 05-03-2011 14:33 1627840
проверьте файлы на http://www.virustotal.com
один из них был установлен два дня назад-неужели не помните

Kinqui 05-03-2011 14:38 1627842
vercontrol.exe http://www.virustotal.com/file-scan/...321-1294563815

vchek.exe http://www.virustotal.com/file-scan/...fbc-1299196257

maniy77, в описании vchek увидел "WebGrabber"

В описании vercontrol.exe увидел "Auto Update Checker"

Цитата:
Цитата maniy77
files »
Цитата:
Цитата maniy77
проверить файлы на http://www.virustotal.com
Код:
c:\program files\common files\akamai\netsession_win_dbc0250.dll
C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys »
два последних файла найти не смог. 1 Проверил на вирустотал он чистый

SolarSpark 05-03-2011 14:51 1627853
продолжайте выполнение рекомендаций из поста 6

Kinqui 05-03-2011 15:18 1627878
Очистил временные файлы AFT Cleaner

Цитата:
Цитата maniy77
ссылки на результат запостить сюда в тему
2) C:\Program Files\Pazera Toolbar\Toolbar.dll
freevideomaster Toolbar
- Тулбары сами устанавливали? »
Я лично нет.Может сестра установила.

Цитата:
Цитата maniy77
3) Диск E - CDROM?
Вы при проверки забыли там диск или оставили его намеренно для проверки? »
Диск E - CDROM

Выполнил 2 скрипта AVZ успешно. Отправил архив quarantine.zip .

Скачал Random's System Information Tool (RSIT). Проверил. Вот отчеты

Kinqui 05-03-2011 15:19 1627879
Жду пока просканируются диски C:D:E:F программой Malwarebytes' Anti-Malware . Позже выложу отчет

SolarSpark 05-03-2011 15:25 1627884
Вопрос: C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys

скачаны с Читерского Форума? видимо принадлежат игре вашей какойто

Kinqui 05-03-2011 15:27 1627887
maniy77, Совершенно верно ) На скрине показан сайт

SolarSpark 05-03-2011 15:39 1627896
Код:
D:\VALVE\hl.exe
E:\valve\hl.exe
это видимо тоже ваше?

Kinqui 05-03-2011 15:45 1627900
maniy77, Да

Kinqui 05-03-2011 16:14 1627933
А можно только диск C проверить Malware? или обязательно все надо?

SolarSpark 05-03-2011 16:44 1627965
обновите adobe reader

Ну раз все файлы мне сомнительные у вас подозрений не вызывают))

Цитата:
Цитата Kinqui
"WebGrabber" »
и это принадлежит вам,
то проблем более не вижу

Тулбары, что указывала (определитесь с сестрой), можете удалить через установку/удаление программ (если не нужны)
почистим мусор и дождемся лог мвам полный

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\imsins.BAK','');
 DeleteFile('C:\WINDOWS\imsins.BAK');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


ну и вобщем то основное по вашей проблеме!
по поводу
Цитата:
Цитата Kinqui
Каждый раз просит комп сохранить какой то файл а нод32 отвечает трояном »
читаем тут
ссылку удалила

Как видите, сайт заражен и пытается заразить вас. Нод стоически отбивает атаку...и разрывает соединение

при рассмотрении кода не видно насильственного запуска этого файла.. вы запускали его самостоятельно?

на всяк случай поменяйте все пароли свои
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

SolarSpark 05-03-2011 17:28 1627994
внимание, подправила скрипт-будьте внимательны

C:\WINDOWS\vncutil.exe на http://www.virustotal.com проверить

Kinqui 05-03-2011 17:46 1628012
Цитата:
Цитата maniy77
при рассмотрении кода не видно насильственного запуска этого файла.. вы запускали его самостоятельно? »
Нет не запускал.

пароль на учетку не стоит. Поставлю . Скоро выложу логи мвам

Kinqui 05-03-2011 18:06 1628025
maniy77, окей

Kinqui 05-03-2011 18:08 1628026
maniy77, лог малваре

Kinqui 05-03-2011 18:16 1628035
maniy77,

vncutil.exe - http://www.virustotal.com/file-scan/...bd0-1293305411

Все Выполнил.

thyrex 05-03-2011 18:59 1628070
Ссылка устаревшая. Нужно выполнить повторный анализ, выбрав Проверить заново или что-либо в этом роде.

Kinqui 05-03-2011 19:25 1628089
thyrex, Да как так? блин

thyrex, что именно надо сделать?

iskander-k 05-03-2011 19:36 1628096
когда отправите файл на проверку система покажет что файл с таким именем уже проверялся и выдаст два вопроса-ссылки - посмотреть результаты и проверить заново. Вот и выбирайте проверить заново.

SolarSpark 05-03-2011 19:43 1628102
удалите в mbam
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> No action taken.

Заражённые папки:
c:\program files\funwebproducts (Adware.MyWebSearch) -> No action taken.
c:\program files\funwebproducts\Installr (Adware.MyWebSearch) -> No action taken.
c:\program files\funwebproducts\Installr\1.bin (Adware.MyWebSearch) -> No action taken.
c:\documents and settings\user\application data\winxrar (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\WINDOWS\reconstruction.exe (Trojan.Spambot) -> No action taken.
c:\documents and settings\user\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\user\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\WAMPIR\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
кейгены на ваше усмотрение, могут содержать трояны

vercontrol.exe - этот файл тоже проверить заново

и повторить лог MBAM

Kinqui 05-03-2011 20:28 1628136
maniy77, Мне то есть опять проводить полную проверку MBAM?

thyrex 05-03-2011 21:21 1628183
После нажатия Remove Selected (Удалить выделенное) должен открыться новый лог. Его и прикрепите


Время: 13:23.

Время: 13:23.
© OSzone.net 2001-