Помогите пожалуйста.

[zurge]

Есть подозрения на вирусы. Я новичек в этом деле

Сканировал систему в безопасном режиме cireit'ом удалился спамбот и Trojan.PWS.LDPinch.1941 но система всеравно виснет и при закрытии эксплора вылетает ошибка.

hijackthis.log

avz_sysinfo.htm

avz_sysinfo.xml

hijackthis.log

avz_sysinfo.htm

avz_sysinfo.xml

[Pili]

cureit скачали свежий? AVPTool должен уже знать ваш вир. можете скачать и проверить им.

Перед выполнением скрипта скачайте WinsockFix - может понадобится, если сеть пропадет после лечения (запустите и нажмите кнопку Fix)

пофиксить в HJT

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=31800

O2 - BHO: Google Module - {28C703D0-B4A9-4b2f-9123-CE8294761861} - halifax1.dll (file missing)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

ProxyServer = pr-borzil:8080 - ваш?

Sable\WINNT\startnt.bat - сами добавляли?

Выполните скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');

DelBHO('{28C703D0-B4A9-4b2f-9123-CE8294761861}');

QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');

QuarantineFile('C:\WINDOWS\system32\CNMLM5y.DLL','');

QuarantineFile('C:\WINDOWS\system32\halifax1.dll','');

DeleteFile('C:\WINDOWS\system32\halifax1.dll');

DeleteFile('C:\WINDOWS\system32\wsock3.dll');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

HJT версия нова есть, базы AVZ обновляли?

Сделайте повторные логи так:

- Скачайте HijackThis и распакуйте

- Закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[zurge]

ProxyServer = pr-borzil:8080 - ваш?

Да.

Sable\WINNT\startnt.bat - сами добавляли?

Да.

http://ifolder.ru/5100285 (quarantine.zip)

Скачал AVPTool и проверил систему. Нашел два трояна Cliker.HTML.Ifreme.n и Cliker.HTML.Ifreme.es :dontgetit:

Пока изменений в системе не заметил. Раньше при сохранении на жесткий диск загружал процессор процесс tcpsvcs.exe !??

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[Pili]

Ссылку на карантин надо убрать, я же сказал давать её в ПМ (личные сообщения)

AVPTool можно снести, мавр сделал свое дело... :dontgetit:

рез-ты по halifax1.dll (уже удалили)

AhnLab-V3 2008.1.25.11 2008.01.25 -

AntiVir 7.6.0.53 2008.01.25 TR/Spy.Banker.Gen

Authentium 4.93.8 2008.01.25 -

Avast 4.7.1098.0 2008.01.25 -

AVG 7.5.0.516 2008.01.24 PSW.Banker4.OUU

BitDefender 7.2 2008.01.25 -

CAT-QuickHeal 9.00 2008.01.24 -

ClamAV 0.91.2 2008.01.25 -

DrWeb 4.44.0.09170 2008.01.25 -

eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm

eTrust-Vet 31.3.5484 2008.01.25 -

Ewido 4.0 2008.01.24 -

FileAdvisor 1 2008.01.25 -

Fortinet 3.14.0.0 2008.01.25 -

F-Prot 4.4.2.54 2008.01.24 -

F-Secure 6.70.13260.0 2008.01.25 W32/Banker.CFWV

Ikarus T3.1.1.20 2008.01.25 Trojan-PWS.Win32.Agent.km

Kaspersky 7.0.0.125 2008.01.25 -

McAfee 5215 2008.01.24 PWS-Banker.gen.bq

Microsoft 1.3109 2008.01.25 TrojanSpy:Win32/Ambler.E

NOD32v2 2822 2008.01.25 -

Norman 5.80.02 2008.01.24 W32/Banker.CFWV

Panda 9.0.0.4 2008.01.24 -

Prevx1 V2 2008.01.25 -

Rising 20.28.41.00 2008.01.25 -

Sophos 4.25.0 2008.01.25 Troj/Ambler-A

Sunbelt 2.2.907.0 2008.01.25 Trojan.Spy.Banker.Gen

Symantec 10 2008.01.25 Infostealer.Banker.E

TheHacker 6.2.9.196 2008.01.23 -

VBA32 3.12.2.5 2008.01.21 -

VirusBuster 4.3.26:9 2008.01.24 Trojan.Ambler.Gen.2

Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Spy.Banker.Gen

Касперский его тоже теперь будет находить как Trojan-Spy.Win32.Banker.htb

Выполните скрипт (временно отключить антивирусы)

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('UfasoftSnifDriver4');

SetServiceStart('UfasoftSnifDriver4', 4);

QuarantineFile('UfasoftSnifDriver4.sys','');

QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');

DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');

BC_ImportDeletedList;

BC_QrSvc('UfasoftSnifDriver4');

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после перезагрузки

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

карантин выложить так же ссылку в ПМ! Повторить логи

Изменено 25 января, 2008 пользователем Pili

[zurge]

Спасибо большое за помощь. :D Дальнейшие действия по изгонению нечести придется отложить до понедельника так как комп рабочий. AVPTool действительно мавр 5.5 часов проверял :dontgetit:

[Pili]

У вас был пинч, поэтому после лечения поменяйте все пароли.

[zurge]

Скрипт в карантин ничего не поместил. Выкладываю логи. А что такое пинч ?

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

avz_log.rar

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

avz_log.rar

[Pili]

О Trojan-PSW.Win32.LdPinch и Trojan-PSW можно почитать тут и тут

HijackThis v1.99.1 - необходимо обновить версию

Антивирус отключали на время выполнения скрипта?

Пофиксить в HJT

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=31800

O2 - BHO: Google Module - {28C703D0-B4A9-4b2f-9123-CE8294761861} - halifax1.dll (file missing)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O10 - Broken Internet access because of LSP provider 'wsock3.dll' missing

Последнюю строчку можно не фиксить, а использовать winsockfix, ссылку давал ранее. Программа сбрасывает настройки сетевых подключений, поэтому запишите их заранее и, после применения winsockfix, настройте параметры подключений заново.

выполнить скрипт

begin

ClearQuarantine;

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('iPod Service');

StopService('UfasoftSnifDriver4');

QuarantineFile('UfasoftSnifDriver4.sys','');

QuarantineFile('iPod Service.sys','');

QuarantineFile('C:\Program Files\Infocrypt\Sbersign\testhash.bat','');

QuarantineFile('\??\c:\windows\system32\winlogon.exe','');

QuarantineFile('c:\windows\system32\winlogon.exe','');

QuarantineFile('c:\windows\system32\tcpsvcs.exe','');

BC_QrSvc('iPod Service');

BC_QrSvc('UfasoftSnifDriver4');

BC_ImportALL;

BC_Activate;

RebootWindows(true);

end.

Если в карантин не попадут UfasoftSnifDriver4.sys и iPod Service.sys поискать вручную (можно через AVZ - сервис - поиск файлов) и добавить карантин

потом

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

выложить карантин, ссылку в ПМ.

Изменено 28 января, 2008 пользователем Pili

[zurge]

А как обновить HijackThis? Я заходил в Misc Tools нажимал на кнопку Check for update online. Написано что стоит последняя версия.

[Pili]

zurge: Скачать можно тут

Изменено 28 января, 2008 пользователем Pili

[zurge]

Провел следующие манипуляции. Пофиксил в HJT то что нашел из списка. Выполнил скрипт, поискал файлы но что то ничего не нашлось и в карантин добавилось неизвестно что. Почистил систему с помощью ATF-Cleaner, поставил аваст и проверил систему. Снес аваст(грузил систему :dontgetit: ) . Повторил логи. Поставил еще Outpost Firewall. На момент проверок и формирования логов антивир и Firewall отключал.

avz_log.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

avz_log.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[Pili]

zurge: в карантине пусто, этих наверное нет (нулевой размер)

UfasoftSnifDriver4.sys

iPod Service.sys

Попробуйте поискать вручную вышеуказанные файлы (доп-но можно через AVZ), UfasoftSnifDriver4.sys - заархивируйте и выложите, можете сами проверить на virustotal.com

Если не найдутся, значит остался мусор в реестре и можно почистить скриптом

begin

DeleteService('iPod Service');

DeleteFile('UfasoftSnifDriver4.sys');

DeleteFile('iPod Service.sys');

ExecuteSysClean;

end.

C:\Program Files\Infocrypt\Sbersign\testhash.bat - это вероятно сами ставили?

>> Заблокирована настройка автоматического обновления

сами заблокировали?

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешены терминальные подключения к данному ПК

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

Изменено 29 января, 2008 пользователем Pili

[zurge]

UfasoftSnifDriver4.sys и iPod Service.sys было не найти. Почистил скриптом.

C:\Program Files\Infocrypt\Sbersign\testhash.bat да ставил, это для эл.ключей. Я уже удалил эту программу она времмено была поставлена. Обновление не блокировал :)

На счет служб. У нас в фирме компютеры подключены к домену nzks, есть терминальный доступ к серверу. Скорей всего какие то службы нужны а вот какие я не знаю

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Вот это вот точно не нужно. :)

[Pili]

zurge:

скорее всего Удаленный реестр и NetMeeting Remote Desktop Sharing тоже не требуется, но можете закомментировать или убрать, если требуется оставить

begin//отключить службу RemoteRegistry (Удаленный реестр)SetServiceStart('RemoteRegistry', 4);//отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)SetServiceStart('mnmsrvc', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);end.

Дополнительно можно отключить автозапуск со всего, кроме CD (защитит от "флешечных" вирусов)

procedure DisableAutorun;beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);end;beginDisableAutorun;end.

[zurge]

Спасибо :)

P.S. А можно ли защитить флешку от компьютерных вирусов?

[Pili]

zurge: можно, если на флешке есть переключатель "защита от записи"

[zurge]

И снова вирусы :) . Проверил систему, cireit нашел Trojan.PWS.Wsgame.2387, Trojan.Nsanti.Packed, Adware.Savenaw, AdwareWinad.origin :)

Выкладываю логи. Вроде что то еще осталось.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Pili]

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\DOCUME~1\Titan\LOCALS~1\Temp\ktalk.sys','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\wincab.sys','');QuarantineFile('C:\autorun.inf','');QuarantineFile('D:\autorun.inf',''); QuarantineFile('E:\autorun.inf','');QuarantineFile('H:\autorun.inf',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\wincab.sys');DeleteFile('C:\autorun.inf');DeleteFile('D:\autorun.inf');DeleteFile('E:\autorun.inf');DeleteFile('H:\autorun.inf');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, с указанием ссылки на тему в сообщении.

отключите автозагрузку с носителей скриптом

procedure DisableAutorun;begin// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD) RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);end;beginDisableAutorun;end.

Игрушка Hospital Tycoon установлена?

[zurge]

Игрушка Hospital Tycoon установлена?

Да есть такая.

[zurge]

Со вчерашнего для при копировании с флешки файла 1cv7.md вылетает ошибка "Не удается скопировать 1cv7. Запрос

не был выполнен из за ошибки ввода/вывода на устройстве" пробовал скопировать на другом компьютере и все нормально копирует. В чем беда? :blink:

[Pili]

Ваш вирус знает Антивирус касперского и будет в скором времени знать DrWeb, реомендую на других компьютерах проверить касперским с обновленными базами.

Найдите файл h.cmd, добавьте в карантин и после этого удалите этот файл везде, где найдете.

Повторите логи virusinfo_syscheck.zip, hijackthis.log

Если не отображаются скрытые папки и файлы

пуск - выполнить regedit

см. ключ

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Удалить параметр "CheckedValue"

Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1, то же самое делаем с Hidden, в

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

в итоге д.б.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

дополнительно следует удалить

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

По флешке - можете её отформатировать или проверить читается ли содержимое флешки на другой машине (не забудьте удалить с флешки вирусы и все autorun.inf, если они есть)

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не требуется?

Изменено 1 февраля, 2008 пользователем Pili

[zurge]

В том то и дело что флешка рабочая и читается на других машинах. Вирус каким то образом изменил параметры локальных дисков и из за этого ничего не скопировать на флешку и не списать с нее. :D

"Ваш вирус знает Антивирус касперского и будет в скором времени знать DrWeb, реомендую на других компьютерах проверить касперским с обновленными базами." Тоесть подключить жесткий диск к другому компьютеру и проверить на вирусы? А если проверить не касперским а nod32???

Все эти службы и безопасность изменил вирус это 100% комп домашний. Скрытые файлы и папки действительно перестали отображатся. :mad: Вечером выложу логи после всех манипуляций. :blink:

[Pili]

Вы рекомендации и скрипт выполнили? После этого флешка тоже не работает? Где новые логи? Где карантин?

вот ваш вирус:

AhnLab-V3 2008.2.1.11 2008.02.01 -

AntiVir 7.6.0.61 2008.02.01 TR/Crypt.NSPM.Gen

Authentium 4.93.8 2008.01.31 -

Avast 4.7.1098.0 2008.02.01 -

AVG 7.5.0.516 2008.01.31 -

BitDefender 7.2 2008.02.01 Packer.Malware.NSAnti.K

CAT-QuickHeal 9.00 2008.01.30 -

ClamAV 0.92 2008.01.31 -

DrWeb 4.44.0.09170 2008.01.31 -

eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm

eTrust-Vet 31.3.5502 2008.02.01 -

Ewido 4.0 2008.01.31 -

FileAdvisor 1 2008.02.01 -

Fortinet 3.14.0.0 2008.02.01 -

F-Prot 4.4.2.54 2008.02.01 -

F-Secure 6.70.13260.0 2008.02.01 -

Ikarus T3.1.1.20 2008.02.01 Packer.Malware.NSAnti.K

Kaspersky 7.0.0.125 2008.02.01 Worm.Win32.AutoRun.chu

McAfee 5220 2008.01.31 New Malware.hz

Microsoft 1.3109 2008.02.01 VirTool:Win32/Obfuscator!Mal

NOD32v2 2842 2008.02.01 Win32/Pacex.Gen

Norman 5.80.02 2008.01.31 -

Panda 9.0.0.4 2008.02.01 Suspicious file

Prevx1 V2 2008.02.01 VB.BHZ

Rising 20.29.22.00 2008.01.30 -

Sophos 4.25.0 2008.02.01 Mal/EncPk-CE

Sunbelt 2.2.907.0 2008.02.01 -

Symantec 10 2008.02.01 Infostealer.Perfwo.B

TheHacker 6.2.9.203 2008.01.30 -

VBA32 3.12.2.6 2008.01.31 -

VirusBuster 4.3.26:9 2008.01.31 Trojan.Lineage.Gen!Pac.3

Webwasher-Gateway 6.6.2 2008.02.01 Trojan.Crypt.NSPM.Gen

Nod32 его знает (если базы свежие), я имел ввиду вирус скоро будет опознаваться cureit и уже опознается AVPTool - установить AVPTool и запустить лечение на др. компах

выполните скрипт

begin

ExecuteRepair(6);

ExecuteRepair(8);

RebootWindows(true);

end.

вирус это 100% комп домашний.

вы говорили, что у вас много комп. заражено, все дома? )

[zurge]

Вы меня немного не поняли. В ту организацию где много зараженных компьютеров я хожу обслуживать 1С. Так как приходиться пользоватся флешкой вирусы попали и на мой домашний компьютер ( к сожелению на нем базы nod32 старые ) вот. Все скрипты и логи я выполню вечером т.к. сейчас на работе :dontgetit:

[Pili]

скрипт по отключению автозагрузки с носителей я давал в 14 и 18 посте этой темы. Также рекомендую установить

TweakUI - установить, далее

Пуск - Все программы - Powertools for Windows. Для отключения автозапуска найти: My Computer - 'Autoplay' - Drives (снять галочки где надо), Types (снять галочки где надо)