Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите очистить систему от троянов и червей. (http://forum.oszone.net/showthread.php?t=214337)

leh-stav 29-08-2011 17:36 1741821
Помогите очистить систему от троянов и червей.
 
Здраствуйте.
Кратко опишу проблему: схватил net-worm.win32.Kido.ih( C:\WINDOWS\system32\xynblr.dll) который блокировал инет к сайтам антивирей + Backdoor.win32.ruskill.cfk и Backdoor.win32.Floder.cna во временных папках и корзине. Удалил их kis2012 почистил все временные папки, удалили корзины и точки воостановление, прогнал систему утилитой веба и Malwarebytes' Anti-Malware. Некоторое время все было тихо а вчера по новой повторил вышеописанное + взял калькулятор и переименовал на название и расширение вируса (xynblr.dll) и бросил в system32. Сегодня после часа работы за компом AnVir Task Manager известил что несколько exe (Trojan-Downloader.win32.Genomecjwq,Backdoor.win32.VB.nvf) ломятся , в автозапуск. Каспер их убил и перезагрузил комп. После перезагрузки в автозапуске был найдет еще один левый exe.(Trojan.win32.Inject.bjak) .Его я удалил вручную и тут вэб модуль антивуруса начал через каждые 2-3 мин блокировать выход на вредоносные веб-сайты. Мне это надоело и я написал сюда надеясь на вашу помощь.

alex_sev 29-08-2011 19:05 1741889
Обновите Internet Explorer до IE8

в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\xynblr.dll
c:\windows\system32\tmp1F3.tmp
c:\windows\system32\tmp1F2.tmp

NetSvc::
lvuxux
hbtzcpy
ydrbuyztl
qpcmq
bllceairh
pvqiq
srrsjaf
sbctfra
zvnttoojz
qdlgx
fxgfvwjo
uxcirelf
dzbdhtx
txirmwpqc
kmwhttk
qncpvkp
gavvb
yqfhrbu
swpcrqwt
lxmgaznqv
nqkhwle

Driver::
lvuxux
hbtzcpy
ydrbuyztl
qpcmq
bllceairh
pvqiq
srrsjaf
sbctfra
zvnttoojz
qdlgx
fxgfvwjo
uxcirelf
dzbdhtx
txirmwpqc
kmwhttk
qncpvkp
gavvb
yqfhrbu
swpcrqwt
lxmgaznqv
nqkhwle

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3426:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\dzbdhtx]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\fxgfvwjo]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\gavvb]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\hbtzcpy]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\kmwhttk]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\lvuxux]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\lxmgaznqv]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\nqkhwle]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qdlgx]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qncpvkp]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\qpcmq]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\sbctfra]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\swpcrqwt]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\txirmwpqc]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\uxcirelf]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\ydrbuyztl]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\yqfhrbu]
[-HKEY_LOCAL_MACHINE\System\ControlSet005\Services\zvnttoojz]

DirLook::
c:\documents and settings\Lesha\Local Settings\Application Data\dxhr
c:\documents and settings\Lesha\Local Settings\Application Data\28050
c:\documents and settings\Lesha\Local Settings\Application Data\28070

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

leh-stav 29-08-2011 20:23 1741940
Internet Explorer обновил, заплатки установил, пароль поставил.
Лог прилагаю.

leh-stav 29-08-2011 20:26 1741942
Лог

alex_sev 29-08-2011 20:28 1741944
Запакуйте папку C:\Qoobox\ в архив с паролем virus

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Как самочувствие системы?

leh-stav 29-08-2011 21:15 1741985
Не получается запаковать C:\Qoobox\ BackEnv пишет при запаковке ошибку а при открытии папки нет доступа.
Система пока чувствует себя нормально.
Архив отправил.

alex_sev 30-08-2011 05:45 1742220
Сделайте еще раз логи AVZ и RSIT

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

leh-stav 30-08-2011 20:58 1742795
Вложений: 2
Добрый вечер. Извиняюсь за долгое отсутствие.
Логи сделал.
Сегодня утром произошла не большая неприятность: при сканировании касперским диска C система повисла намертво и через 2-3 минуты выкинула в BSOD ссылаясь на watchlog.sys (скрин в следующем посте)

leh-stav 30-08-2011 21:02 1742798
Скрин BSOD

leh-stav 30-08-2011 21:08 1742801
BSOD

alex_sev 30-08-2011 21:10 1742802
Цитата:
Цитата leh-stav
Сегодня утром произошла не большая неприятность: при сканировании касперским диска C система повисла намертво и через 2-3 минуты выкинула в BSOD ссылаясь на watchlog.sys (скрин в следующем посте) »
Скорее конфликт с системным драйвером.

Цитата:
c:\windows\HideWin.exe
- этот файл Вам знаком, если нет, проверьте на Virustotal.com

leh-stav 30-08-2011 22:56 1742874
результаты virustotal

File name:
HideWin.exe
Submission date:
2011-08-30 18:48:02 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)



AhnLab-V3 2011.08.30.01 2011.08.30 -
AntiVir 7.11.14.37 2011.08.30 -
Antiy-AVL 2.0.3.7 2011.08.30 -
Avast 4.8.1351.0 2011.08.30 -
Avast5 5.0.677.0 2011.08.30 -
AVG 10.0.0.1190 2011.08.30 -
BitDefender 7.2 2011.08.30 -
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.30 -
ClamAV 0.97.0.0 2011.08.30 -
Commtouch 5.3.2.6 2011.08.30 -
Comodo 9933 2011.08.30 -
DrWeb 5.0.2.03300 2011.08.30 -
Emsisoft 5.1.0.11 2011.08.30 -
eSafe 7.0.17.0 2011.08.30 -
eTrust-Vet 36.1.8530 2011.08.30 -
F-Prot 4.6.2.117 2011.08.30 -
F-Secure 9.0.16440.0 2011.08.30 -
Fortinet 4.3.370.0 2011.08.30 -
GData 22 2011.08.30 -
Ikarus T3.1.1.107.0 2011.08.30 -
Jiangmin 13.0.900 2011.08.30 -
K7AntiVirus 9.111.5068 2011.08.29 -
Kaspersky 9.0.0.837 2011.08.30 -
McAfee 5.400.0.1158 2011.08.30 -
McAfee-GW-Edition 2010.1D 2011.08.30 -
Microsoft 1.7604 2011.08.30 -
NOD32 6423 2011.08.30 -
Norman 6.07.10 2011.08.30 -
nProtect 2011-08-30.01 2011.08.30 -
Panda 10.0.3.5 2011.08.30 -
PCTools 8.0.0.5 2011.08.30 -
Prevx 3.0 2011.08.30 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.68.0 2011.08.30 -
SUPERAntiSpyware 4.40.0.1006 2011.08.30 -
Symantec 20111.2.0.82 2011.08.30 -
TheHacker 6.7.0.1.286 2011.08.29 -
TrendMicro 9.500.0.1008 2011.08.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.30 -
VIPRE 10318 2011.08.30 -
ViRobot 2011.8.30.4647 2011.08.30 -
VirusBuster 14.0.193.0 2011.08.30

alex_sev 31-08-2011 05:50 1742974
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

leh-stav 31-08-2011 14:59 1743261
Вложений: 2
Добрый день.
Все ваши рекомендации выполнил кроме одного (не работать за компьютером с правами администратора) но и это в ближайшее время исправлю.
Появилась не большая не приятность : контроль программ антивируса выявил (возможное) действие руткита
Текст окна оповещения
316B7_XP.EXE проявляет себя как скрытый объект.Данное повдение может быть следствием действий пользователя или вредоносной программы-руткита.
Обнаружено
PDM.Hidden object

C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE


Последовательность запуска программы:
Запущено 7C7F4F.EXE

alex_sev 31-08-2011 15:31 1743299
Сделайте тогда еще логи uVS:

http://safezone.cc/forum/showthread.php?t=14508

Так же скопируйте данный файл, запакуйте в архив с паролем virus

Цитата:
C:\DOCUMENTS AND SETTINGS\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Если файла по данному пути не увидите, попробуйте поискать и скопировать его так:

http://safezone.cc/forum/showthread.php?t=15283

alex_sev 31-08-2011 20:03 1743496
Выполните скрипт в uVS

http://safezone.cc/forum/showthread.php?t=14509

Код:
;uVS v3.68 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\REGISTRY.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\NEWADVSPLASH.DLL
zoo %Sys32%\HIDSERV.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTINGS\TEMP\NSG8.TMP\SYSTEM.DLL
deltmp
regt 5
regt 23
clrmd
restart

leh-stav 31-08-2011 20:04 1743497
Вложений: 1
Добрый вечер.
Выше в пути я ошибся правильный путь C:\DOCUMENTS AND SETTINGS\LESHA\LOCAL SETTING\TEMP\47754989-DCB6DE97-EDC248C8-3244B8AD\316B7_XP.EXE
Лог сделал и отправил.
Не получилось найти даже содержащую файл папку, до temp путь просматривается и а дальше никак. Пробовал Total Commander, XueTr.

alex_sev 31-08-2011 20:23 1743506
Скрипт выполните выше указынный, хотя в логах я подозрительного не увидел.

Давайте для успокоения сделаем логи различными антируткитами:

Xuetr:

http://safezone.cc/forum/showthread.php?t=15334

GMER:

http://safezone.cc/forum/showpost.php?p=452&postcount=1

Vba32 AntiRootkit:

http://safezone.cc/forum/showthread.php?t=14172

RKU:

http://safezone.cc/forum/showthread.php?t=14797

TDSSKiller:

http://support.kaspersky.ru/faq/?qid=208636926

После создания каждого лога перезагружайте компьютер.

leh-stav 31-08-2011 23:11 1743647
Вложений: 2
Логи uVS после выполнения скрипта и логи XueTr (остольное завтра)

leh-stav 01-09-2011 19:07 1744225
Вложений: 4
Остальные логи.
При проверки Vba32 AntiRootkit в режиме extended выкинула в BSOD, сделал в режиме ordinary

текст BSOD
A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: xl94cwdk.sys

PAGE_FAULT_IN_NONPAGED_AREA

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x10000050 (0xb2a55000, 0x00000000, 0xb7f8caf9, 0x00000000)

*** xl94cwdk.sys - Address 0xb7f8caf9 base at 0xb7f85000 DateStamp 0x4e1ebee3

alex_sev 01-09-2011 20:09 1744271
Сейчас погляжу, днем теперь никак, если другие хелперы не отвечают, ждите вечера

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 79iuc2mn.exe случайное имя утилиты (gmer)
Код:
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ydrbuyztl"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qpcmq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\pvqiq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lvuxux"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hbtzcpy"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ydrbuyztl"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qpcmq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\pvqiq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\lvuxux"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hbtzcpy"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ydrbuyztl"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qpcmq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvuxux"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hbtzcpy"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ydrbuyztl"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qpcmq"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\lvuxux"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hbtzcpy"
79iuc2mn.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\bllceairh"
79iuc2mn.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

leh-stav 01-09-2011 21:15 1744309
Вложений: 1
Зделал

alex_sev 01-09-2011 21:30 1744321
Вот теперь подозрительного не вижу, появляются еще проблемы?

Все ли критические обновления для Windows установлены

leh-stav 02-09-2011 19:56 1744924
Проблем пока больше нет. Обновления установлены.

Поспешил радоваться сегодня вечером стало выскакивать сообщение "подключение по локальной сети. сетевой кабель не подключен" (хотя кабель подключен и модем работает) и связь с инетом рвется на через несколько секунд сама восстанавливается.

alex_sev 03-09-2011 15:35 1745307
Готовьте повторные логи, AVZ, RSIT

leh-stav 03-09-2011 16:30 1745329
Вложений: 2
Готово.

alex_sev 03-09-2011 22:18 1745567
В логах подозрительного не видно

leh-stav 07-09-2011 12:44 1747908
Добрый день.
Проблем с компом нет. Большое спасибо за помощь :up. Все доброго. Тему можно закрывать.


Время: 15:40.

Время: 15:40.
© OSzone.net 2001-