Спасите систему от последствий трояна (-ов).

[$traykeR]

Всем привет!

Вчера вечером были замечены вирусы (вот, что значит давать попользоваться инетом друзьям и близким :) ).

Итак, вход в систему - все нормально... захожу в Мой Компьютер (в общем практически в любую папку) и на тебе:

Ага, размечтались - Отмена.

Блин, вспомнил, что Касперский давно в отключке (пару недель) да и аутпост был тоже... в общем досиделся без должной защиты. Запускаю 7 KAV, сканирую весь жесткий диск - в итоге Обнаружено 129 вирусов, все лечил, которые не получилось удалил.

Отчет:

KAV7.txt

Перезагрузка, загрузка учетки, и такое вот окно:

Данное .exe приложение было в автозагрузки и нормально себе фунциклировало (видимо до чистки антивируса):

• Но проблемы то остались:
  
• при юзании стандартного виндовского екслорера:
  

• Internet Explorer не работает - не запускается просто.
  

Юзаю через Total Commander, так как папки не открываются.

Вот еще логи:

hijackthis.log

KAV7.txt

hijackthis.log

Изменено 13 февраля, 2008 пользователем $traykeR

[juve]

С помощью hijackthis пофиксь:

F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)

O2 - BHO: MailRuBHO Class - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

И вот это:

O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkkdkk.dll

Скачай AVZ и обнови его: Файл - Обновление баз. Проверь все жесткие диски.

Изменено 13 февраля, 2008 пользователем juve

[ser208]

Скачай Cureit , и проверь системный диск в безопасном режиме.

Скачай AVZ , распакуй, обнови и перейди в меню

Файл -- Стандартные скрипты. Выполни скрипт №3, в папке с AVZ будет папка LOG. Запакуй и выкладывай.

Изменено 13 февраля, 2008 пользователем ser208

[Pili]

Logfile of HijackThis v1.99.1

Скачайте свежую версию HijackThis, после выполнения в AVZ №3, перезагрузитесь и выполните стандартный скрипт №2, выложить файлы virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Изменено 14 февраля, 2008 пользователем Pili

[$traykeR]

juve

Профиксил

ser208

Скачай Cureit , и проверь системный диск в безопасном режиме.

Проверил - нашло еще 2 вируса - приложение mmhren1.exe и mmmkkdkk.dll (которые KAV же находил уже, до проверки Dr.web-a...)

Перезагрузка -- заугрузка учетки -- загрузка KAV-а -- проверка крит.областей (...авто) и обнаружение еще одного вируса :

Скачай AVZ , распакуй, обнови и перейди в меню

Файл -- Стандартные скрипты. Выполни скрипт №3, в папке с AVZ будет папка LOG. Запакуй и выкладывай.

Просканировал весь жесткий диск AVZ с условием 3 пункта. Лог:

LOG.rar

...

Pili

Скачайте свежую версию HijackThis

По новой версии лог:

hijackthis.log

Сканирую с условием 2-го пункта...

LOG.rar

hijackthis.log

Изменено 14 февраля, 2008 пользователем $traykeR

[$traykeR]

Pili

перезагрузитесь и выполните стандартный скрипт №2, выложить файлы virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

При завершении сканирования высочило окно:

AVZ просканировал с условием второго пункта:

LOG.rar

.......

Вырубил KAV (так как тормоза запарили(!)), быстро юзал виндовский браузер файлов и наткнулся на знакомое окно

Нажал Ок (так как в настройках мыши всегда стоит автовыбор на "ОК"), запустился мастер закачек (DM) с запросом на скачку данную программу. Качать не качал, а вот адрес записал :mad: !!

http://202.83.213.5/defender-install.exe

LOG.rar

Изменено 14 февраля, 2008 пользователем $traykeR

[Pili]

В HJT пофиксить

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)

остальное, что найдется, уберем скриптом AVZ, нужны логи

и ещё... у вас был PSW.Win32.LdPinch

меняете все пароли на все ресурсы

Изменено 14 февраля, 2008 пользователем Pili

[$traykeR]

Pili

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)

Толи слепой - не нашел, все остальное профиксил.

остальное, что найдется, уберем скриптом AVZ, нужны логи

Я выложил лог в 6-ом сообщении, с условием 2-го стандартного скрипта.

Спасибо, что дальше делать?

меняете все пароли на все ресурсы

Понял.

[Pili]

$traykeR: Еще раз

Логи должны быть такие - zip файлы из каталога AVZ\LOG и HijackThis, но весь каталог LOG архивировать не надо! (в файле virusinfo_cure.zip могли быть вирусы - не хорошо их выкладывать)

всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip, эти логи результат след. действий:

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

Последовательность имеет значение! Логи лучше выкладывать вместе, тогда не будет такого что "не нашел"

O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - (no file)

было в вашем hijackthis.log, т.к AVZ ничего не удалил, то м.б. ещё есть (по AVZ есть)

можно, в принципе пофиксить ещё

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('EzInstall');StopService('NdisWon');QuarantineFile('C:\WINDOWS\AcroIEHelper.dll','');QuarantineFile('point32.exe','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('0.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\NdisWon.sys','');QuarantineFile('G:\ezinstall\EzInstall.sys','');DelBHO('{140BD8E3-C167-11D4-B4A3-080000180323}');DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}');DeleteFile('C:\WINDOWS\system32\drivers\NdisWon.sys');DeleteFile('0.exe');DeleteFile('C:\WINDOWS\mmhren1.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

повторите все логи

диск G это у вас что?

[ser208]

но весь каталог LOG архивировать не надо! (в файле virusinfo_cure.zip могли быть вирусы - не хорошо их выкладывать)

Это я в спешке запарился :mad:

Каюсь.

[$traykeR]

Pili:

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

virusinfo_syscure.zip

virusinfo_syscheck.zip

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

Последовательность имеет значение! Логи лучше выкладывать вместе, тогда не будет такого что "не нашел"

hijackthis.rar

выполните скрипт...

Выполнил все скрипты в указаной последоательности.

Файл quarantine.zip выложил на рапиду, ссылку отослал в PM.

диск G это у вас что?

Это второй DVD ром.

ЗЫ До всех логов удалил виртуальные приводы (2), профиксил:

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll

... и это еще

O2 - BHO: Adobe PDF Reader Link Helper - {A8607BAF-0EB3-473C-84C9-F3A5B901A796} - C:\WINDOWS\AcroIEHelper.dll

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

[Pili]

поищите вручную

NdisWon.sys (C:\WINDOWS\system32\drivers\NdisWon.sys) и м.б. на сд найдете EzInstall.sys (G:\ezinstall\EzInstall.sys) - если найдете, заархивируйте с паролем virus и отправьте на анализ newvirus@kaspersky.com, результат сообщите

если не найдете, можете выполнить скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('EzInstall');SetServiceStart('EzInstall', 4);StopService('NdisWon');SetServiceStart('NdisWon', 4);QuarantineFile('G:\ezinstall\EzInstall.sys','');QuarantineFile('NdisWon.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\NdisWon.sys','');DeleteService('EzInstall');DeleteService('NdisWon');DeleteFile('G:\ezinstall\EzInstall.sys');DeleteFile('NdisWon.sys');DeleteFile('C:\WINDOWS\system32\drivers\NdisWon.sys');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

а в остальном логи чистые

[Andruscha]

Здраствуйте!!!!

Люди я чайник, 2 дня читаю етот форум и нифига немогу зделать :g:

у меня таже проблема что и у автора, вылазиет окно и хочет чтобы я

скачал какойта смутный антивирус с ихнего сайта.

вот ета мутная штука http://202.83.213.5/defender-install.exe

я облазил все поисковики что знал и нашёл только несколько форумов на ету тему....

похоже вирус свежий...

один форум на итальянском, один на англиском, один нa китайском....

ето единственный форум где я могу хоть читать, понимаю плохо так как таких слов незнаю.

я скачал Cureit просканил и так и в безопасном режиме длисоль ето очень долго чесов 10.

были вирусы их удалил.

скачал AVZ незнаю что ето и с чем его едят.

скачал HijackThis незнаю что ето и с чем его едят.

окно ето как вылазило так вылазиет... 3 день мучиюсь помогите ктонибуть !!!!!!! ПожалуйсTa

[Andruscha]

ету штуку поймал после того как посмотрел фильм онлайн

на сайте linecinema.ru...

если неошибаюсь они меня какойта елемент просили установить

чтобы пошло чёта там

[$traykeR]

Andruscha:

Сделай все, что тут выше написано. Окно исчезло :g: , есплорер уже нормально стал работать. Всем спасибо за помощь!

Pili Ок, сделаю. :)

Изменено 17 февраля, 2008 пользователем $traykeR

[Andruscha]

я бы с удовольстием только я... незаю что мне делать... я непонимаю нечего.... я только смог просканить комп доктором веб

[Pili]

Andruscha:

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

Откройте новую тему, опишите проблему и выложите логи

[$traykeR]

поищите вручную

NdisWon.sys (C:\WINDOWS\system32\drivers\NdisWon.sys) и м.б. на сд найдете EzInstall.sys (G:\ezinstall\EzInstall.sys) - если найдете, заархивируйте с паролем virus и отправьте на анализ newvirus@kaspersky.com, результат сообщите

если не найдете, можете выполнить скрипт

...

Pili, выполнил указанный скрипт. Заархивировал новый "Quarantine.zip". Правильно ?

Если да, то отошлю на мыло...

Изменено 18 февраля, 2008 пользователем $traykeR

[Pili]

$traykeR: т.е. вручную файлы не нашли? Карантин пришлите в ПМ

[$traykeR]

$traykeR: т.е. вручную файлы не нашли? Карантин пришлите в ПМ

Вобщем я немного запутался, думал скрипт сей заменит поиск файла, ну да ладно.

ndis.sis нашел в ..system32\drivers

ndis.rar отсылаю на newvirus@kaspersky.com.

На всякий случай отсылаю Карантин вам в PM :D

[Pili]

надо NdisWon.sys (но его уже нет - удален), а не ndis.sis (наверное ndis.sys) :D

ndis.sys точно будет чистый.

9. Мастер поиска и устранения проблем

>> Нарушение ассоциации SCR файлов

запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

[$traykeR]

Запустил мастер поиска, исправил:

Нарушение ассоциации SCR файлов

Службы

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

RemoteRegistry - оставляю включенной, нужна.

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

Отключаю (работала)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Отключаю, хотя все они не работали, режим "Вручную".

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Приглашение не нужно, отключил.

Все остальное вродебы нужно, вот только:

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Локалки нет, так что убираю - в реестре HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous ставлю 2.

[Pili]

Сами поотключали? Мог скриптом сделать, ну ладно, зато опыта набрались :)

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета!

[$traykeR]

Cпасибо большое, книгу прочту! :blush2:

PS Проблема решена, тема закрыта.