Николаq69 Опубликовано 8 августа, 2008 Жалоба Поделиться Опубликовано 8 августа, 2008 Проверил комп по прилагаемой инструкции, логи прикрепляю сюды. Подскажите пожалуста что теперь дальше? :blush2: hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 8 августа, 2008 Жалоба Поделиться Опубликовано 8 августа, 2008 Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Пофиксить в HijackThis следующие строчки UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Ïàõàí\xccoxvf.exe \sF2 - REG:system.ini: Не перезагружая AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);SetServiceStart('Qaj45', 4);SetServiceStart('VIDEO', 4);QuarantineFile('Settings\Пахан\xccoxvf.exe','');QuarantineFile('C:\Documents','');QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys','');QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('c:\windows\system32\winhelp32.exe','');QuarantineFile('C:\Documents and Settings\Пахан\xccoxvf.exe','');DeleteFile('c:\windows\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('Settings\Пахан\xccoxvf.exe');DeleteFile('C:\Documents and Settings\Пахан\xccoxvf.exe');DeleteService('tcpsr');DeleteService('Qaj45');DeleteService('VIDEO');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 августа, 2008 Жалоба Поделиться Опубликовано 11 августа, 2008 (изменено) C:\WINDOWS\SYSTEM32\winhelp32.exe - Trojan-PSW.Win32.Agent.kkr C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp - Trojan-PSW.Win32.Agent.kkr C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kkq C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp - Rootkit.Win32.Agent.cbs C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys - Rootkit.Win32.Agent.cbs C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys - отправил в вирлаб. C:\WINDOWS\system32\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq А зачем логи в почте? Их необходимо постить в тему....я обычно логи в почте игнорирую. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis2.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis2.log Изменено 11 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 августа, 2008 Жалоба Поделиться Опубликовано 11 августа, 2008 (изменено) Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пахан\xccoxvf.exe \sO2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')O20 - AppInit_DLLs: vmmreg32.dll AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\windows\system32\winhelp32.exe');SetServiceStart('tcpsr', 4);SetServiceStart('Qaj45', 4);DeleteFile('c:\windows\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\Documents and Settings\Пахан\xccoxvf.exe');DeleteFile('Settings\Пахан\xccoxvf.exe');DeleteService('tcpsr');DeleteService('Qaj45');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_DeleteFile('c:\windows\system32\winhelp32.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Готовьтесь менять пароли. Готовьте новые логи. Несколько вопросов: 1. Перед выполнением скрипта антивирус и сеть отключены? 2. Безопасный режим работает? Если да, то выполняйте скрипты в нем. Изменено 19 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Николаq69 Опубликовано 15 августа, 2008 Автор Жалоба Поделиться Опубликовано 15 августа, 2008 сделал вроде все как в вашем письме от 11.08.2008. 21:07. в хайджек некоторых строк почему-то не было...может что не так сделал? Новые логи прикрепляю. hijackthis3.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis3.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 15 августа, 2008 Жалоба Поделиться Опубликовано 15 августа, 2008 (изменено) Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита: C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys Пофиксить в HijackThis следующие строчки O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);SetServiceStart('Qaj45', 4);DeleteService('Qaj45');DeleteFile('C:\WINDOWS\system32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteService('VIDEO');SysCleanAddFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DelAutorunByFileName('C:\WINDOWS\SYSTEM32\winhelp32.exe');BC_ImportDeletedList;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Отключите востановление системы. Установите драйвер мониторинга AVZPM и повторите логи. Изменено 15 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
greywind Опубликовано 18 августа, 2008 Жалоба Поделиться Опубликовано 18 августа, 2008 Процесс svchost.exe без описания запущенный через DCOM при работе этого вируса-кейлоггера отсылал данные на адрес 195.5.117.238, адрес из пула адресов эстонской конторы предлагающей виртуальный хостинг. Контактное лицо судя по хуизу person: Roman Ivanov address: Voru 1-28 address: 13612, Tallinn address: Estonia phone: +372 6321028 e-mail: roman@compic.ee Не поленитесь написать данному человеку письмецо с прошением пресечь преступную деятельность одного из его клиентов, иначе зараза понесётся дальше Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 августа, 2008 Жалоба Поделиться Опубликовано 18 августа, 2008 Простите, greywind, как-то не совсем понятен смысл Вашего сообщения. Не могли бы Вы пояснить. что имели ввиду. Ссылка на комментарий Поделиться на другие сайты Поделиться
greywind Опубликовано 19 августа, 2008 Жалоба Поделиться Опубликовано 19 августа, 2008 чего непонятно-то? вирус описываемый в этой теме вот его дескриптион на всякий случай http://www.threatexpert.com/report.aspx?ui...d7-5e7a7f8a7a2d является кейлоггером, собирает пользовательские данные вроде логинов\паролей, номеров кредиток и т.п. собранные данные ведь нужно как-то отослать владельцу вируса, правильно? я и засёк неоднократно этот поток с помощью TCPView от sysinternals пока чистил комп от этого вируса. данные отсылались на адрес указанный выше. он в свою очередь принадлежит организации предоставляющей услуги виртуального хостинга, т.е. скорее всего это не они пользуются этим вирусом, но кто-то из их клиентов и покуда они ответствены за этот адрес, они могут повлиять на него. А я в свою очреедь призываю просто проявить гражданскую позицию, чем больше жалоб придёт хостерам, тем быстрее они что-либо начнут делать Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти