[Severny]

Приветствую.
C помощью ATF Cleaner почистить временные файлы.

В HijackThis выделить значения и нажать Fix Checked

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

В AVZ выполнить скрипт

Цитата:

begin SetAVZGuardStatus(True); SearchRootkit(true, true); TerminateProcessByName('c:\windows\ehome\mcrdsvc.exe'); SetServiceStart('MHNDRV', 4); QuarantineFile('C:\WINDOWS\system32\time.cmd',''); QuarantineFile('C:\WINDOWS\System32\drivers\2458497d.sys',''); QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('c:\windows\ehome\mcrdsvc.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys',''); DeleteFile('msansspc.dll'); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\Program Files\Microsoft Common\svchost.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(13); ExecuteRepair(11); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end.

После перезагрузки выполнить еще один

Цитата:

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Карантин в приват.

Назначенное задание C:\WINDOWS\system32\time.cmd известно?
Странно наличие Outpost вместо антивируса. Лучше бы наоборот.

Vadikan, Severny, приветствую.
Severny, сорри, но я пока убрал из скрипта, ввиду спорного вопроса о зловрдности файлов
DeleteService('MHNDRV');
DeleteService('symlcbrd');
DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\mhndrv.sys');
DeleteFile('c:\windows\ehome\mcrdsvc.exe');
добавил в скрипт карантин этих файлов и ExecuteRepair(9);
C:\WINDOWS\system32\DRIVERS\mhndrv.sys - http://www.virustotal.com/analisis/9...62d0f99d94838a
symlcbrd.sys - http://www.virustotal.com/analisis/3...e933d52485da2d
Pili.

[Pili]

Дополню. На время скрипта Outpost лучше отключить, временно можно включить брандмауэр windows.
В логах остатки от Symantec, можно удалить утилитой Norton Removal Tool, AGAVA AntiSpy не очень полезен, можно удалить. Рекомендую обновить Adobe Acrobat и Java (по логам jre1.6.0_03)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Рекомендую проверить систему дополнительно с помощью Malwarebytes' Anti-Malware
Скачайте MВАМ здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[Vadikan]

Спасибо за ответы! Попробую ответить по нескольким пунктам, пока выполняю инструкции

Установлена XP MCE ОЕМ. Поэтому MHNDRV, наверное, все-таки системная служба. Это же касается mcrdsvc.exe. Мне еще предстоит найти соотв. установочный диск для проверки sfc... А symlcbrd.sys - скорее всего остатки Symantec.

Цитата Severny:

Назначенное задание C:\WINDOWS\system32\time.cmd известно? »

Да, оно безвредно.

Цитата Severny:

Странно наличие Outpost вместо антивируса. Лучше бы наоборот. »

Конечно, но ноут же не мой - я могу только порекомендовать, и я именно это и говорил Был NOD, но его снесли по какой-то там причине.

Цитата Pili:

На время скрипта Outpost лучше отключить, временно можно включить брандмауэр windows. »

До графического интерфейса программы мне не добраться, а служба не выключилась в обычном режиме (перезагружаться поленился). Я попробую отключить ее в безопасном режиме в след. раз перед проверкой.

По поводу MBAM вопрос. Можно ли обновить базы на одном компьютере, а потом перенести программу на флэшке на зараженный? Мне кажется, я потеряю больше времени, пытаясь подключить ноут к сети. В нем нет служб Workstation и TCP/IP NetBIOS Helper Service - это только навскидку заметил, в логах полно ошибок о запуске служб и загрузке драйверов. А решать эти вопросы, наверное, стоит после того, как заражения будут устранены.

[Pili]

Vadikan, по поводу отключения Outpost - это для того чтобы AVZ отработал корректно - самозащита Outpost хорошая, но попробовать можно

Цитата:

sc stop acssrv sc stop OutpostFirewall

МВАМ обновить можно - downloading the update MBAM
mhndrv.sys - на VI что-то часто удаляют, по 2458497d.sys - гугл ничего не знает, цифровые подписи у файлов есть? В общем файлы из карантина можно в вирлаб на проверку, например на newvirus@kaspersky.com в архиве с паролем virus и ещё можно в вирлаб DrWeb, что-то из файлов, например 2458497d.sys, можно заранее проверить virustotal.com

[Severny]

Цитата Severny:

DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys'); »

Цитата Vadikan:

А symlcbrd.sys - скорее всего остатки Symantec. »

Я из-за этого и удалял, потому как Симантека вроде как и нет уже.

[Vadikan]

Прикрепляю логи AVZ и HJT. Проверкой MBAM займусь попозже, она неспешная. Рабочий стол появился, как и следовало ожидать Посмотрим, что там еще порушилось попутно...

Цитата Pili:

В логах остатки от Symantec, можно удалить утилитой Norton Removal Tool »

Знать бы еще, какой из продуктов тут стоял... В Program Files чисто. Наверное, можно удалить скриптом.

Цитата Pili:

AGAVA AntiSpy не очень полезен, можно удалить. »

Да нет его по указанному адресу, видимо удален уже.

Java удалю руками.

ATF странный рез-т выдал - мол удалил 35,828 mb - я испугался даже

Карантин отправил на оба адреса.
Спасибо!

[Vadikan]

upd - ответ от касперского

Цитата:

mhndrv.sys, symlcbrd.sys Вредоносный код в файлах не обнаружен. sdra64.exe - Trojan-Spy.Win32.Zbot.ooa Этот файл определяется антивирусом. Обновите антивирусные базы.

upd2 - лог MBAM

Код:

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1893
Windows 5.1.2600 Service Pack 3

20.03.2009 5:45:15
mbam-log-2009-03-20 (05-45-15).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 216957
Прошло времени: 2 hour(s), 27 minute(s), 40 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 1
Заражено параметров реестра: 1
Заражено папок: 2
Заражено файлов: 19

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Заражено папок:
C:\Program Files\Microsoft Common (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\lowsec (Spyware.StolenData) -> Quarantined and deleted successfully.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Spyware.StolenData) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Spyware.StolenData) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds.lll (Spyware.StolenData) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\cmnocfg.xml (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmnocfg.xml.tmp0 (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\basewracp32.dll (Trojan.Downloader) -> Not selected for removal.
C:\WINDOWS\system32\sfxzmtforum.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\sfxzmtsmt.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\sfxzmtsmtspm.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\sfxzmtwbmail.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtaim.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtforum.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtgtal.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmticq.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtsmt.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtsmtspm.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtwbmail.dll (Malware.Trace) -> Not selected for removal.
C:\WINDOWS\system32\pfxzmtymsg.dll (Malware.Trace) -> Not selected for removal.

Я не решился удалять ряд файлов без дополнительного исследования.

[Pili]

Vadikan, по логу AVZ, интересует файл C:\WINDOWS\System32\drivers\2458497d.sys - в карантин не попал, возможно от AVPTool и прошел по базе безопасных, но на вския случай можно поискать вручную (можно через FAR или AVZ - проверить на virustotal.com и можно в вирлаб в архиве с паролем virus.
По логу MBAM

Цитата:

C:\Program Files\Microsoft Common (Trojan.Agent) -> Not selected for removal.

Можно удалить, это вероятно остатки от C:\Program Files\Microsoft Common\svchost.exe

Цитата:

C:\WINDOWS\system32\basewracp32.dll (Trojan.Downloader) -> Not selected for removal.

тоже удалить, остальные файлы sfxzm... и pfxzmt... можно проверить по VT и вирлаб.
pfxzmtsmt.dll, sfxzmtsmt.dll и остальные, по symantec например, от Trojan.Mespam, поэтому думаю можно удалять.

По поводу удаления остатков Symantec, AVZ возможно не все показывает, т.к. часть файлов может быть в базе безопасных, к тому эе драйвер symlcbrd - работает, часть от Norton Antivirus, лучше чистить утилитой, но если хотите, можно почистить скриптом

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('symlcbrd');
 QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\symlcbrd.sys');
 DeleteService('symlcbrd');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('symlcbrd');
BC_Activate;
RebootWindows(true);
end.

Цитата Vadikan:

Да нет его по указанному адресу, видимо удален уже. »

Тогда можно пофиксить

Код:

O4 - HKUS\S-1-5-19\..\Run: [AGAVA AntiSpy] "C:\Program Files\AGAVA AntiSpy\ah.exe" -background -scanner (User 'LOCAL SERVICE')

Если C:\WINDOWS\System32\drivers\2458497d.sys окажется чист, то по логам avz и hjt придраться больше не к чему и если проблемы какие-то остались, можно провериться другими утилитами.

[Vadikan]

Спасибо за помощь!

Цитата Pili:

интересует файл C:\WINDOWS\System32\drivers\2458497d.sys »

Его не видно в файловых менеджерах.

Цитата Pili:

тоже удалить, остальные файлы sfxzm... и pfxzmt... можно проверить по VT и вирлаб. »

Я убрал их.

Цитата Pili:

pfxzmtsmt.dll, sfxzmtsmt.dll и остальные, по symantec например, от Trojan.Mespam, »

На VT не детектируются, но это не важно - это не системные файлы явно.

Интересно, что ESET при установке обнаруживает AVAST, но я не вижу его на диске и в HKLM\Software.