логи с моего компа

[Николаq69]

Проверил комп по прилагаемой инструкции, логи прикрепляю сюды. Подскажите пожалуста что теперь дальше? :blush2:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK]

Скачайте Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp

Нажмите по нему правой кнопкой мыши и выберите force delete.

На запрос потверждения ответьте "да".

Перезагрузите компьютер.

Пофиксить в HijackThis следующие строчки

UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Ïàõàí\xccoxvf.exe \sF2 - REG:system.ini: 

Не перезагружая

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('tcpsr', 4);SetServiceStart('Qaj45', 4);SetServiceStart('VIDEO', 4);QuarantineFile('Settings\Пахан\xccoxvf.exe','');QuarantineFile('C:\Documents','');QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys','');QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('c:\windows\system32\winhelp32.exe','');QuarantineFile('C:\Documents and Settings\Пахан\xccoxvf.exe','');DeleteFile('c:\windows\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('Settings\Пахан\xccoxvf.exe');DeleteFile('C:\Documents and Settings\Пахан\xccoxvf.exe');DeleteService('tcpsr');DeleteService('Qaj45');DeleteService('VIDEO');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

[akoK]

C:\WINDOWS\SYSTEM32\winhelp32.exe - Trojan-PSW.Win32.Agent.kkr

C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp - Trojan-PSW.Win32.Agent.kkr

C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kkq

C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp - Rootkit.Win32.Agent.cbs

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys - Rootkit.Win32.Agent.cbs

C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys - отправил в вирлаб.

C:\WINDOWS\system32\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq

А зачем логи в почте? Их необходимо постить в тему....я обычно логи в почте игнорирую.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis2.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis2.log

Изменено 11 августа, 2008 пользователем akoK

[akoK]

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Пахан\xccoxvf.exe \sO2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')O20 - AppInit_DLLs: vmmreg32.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);TerminateProcessByName('c:\windows\system32\winhelp32.exe');SetServiceStart('tcpsr', 4);SetServiceStart('Qaj45', 4);DeleteFile('c:\windows\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');DeleteFile('C:\WINDOWS\system32\winhelp32.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('C:\Documents and Settings\Пахан\xccoxvf.exe');DeleteFile('Settings\Пахан\xccoxvf.exe');DeleteService('tcpsr');DeleteService('Qaj45');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');BC_ImportALL;BC_DeleteFile('c:\windows\system32\winhelp32.exe');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Готовьтесь менять пароли. Готовьте новые логи.

Несколько вопросов:

1. Перед выполнением скрипта антивирус и сеть отключены?

2. Безопасный режим работает? Если да, то выполняйте скрипты в нем.

Изменено 19 августа, 2008 пользователем akoK

[Николаq69]

сделал вроде все как в вашем письме от 11.08.2008. 21:07. в хайджек некоторых строк почему-то не было...может что не так сделал? Новые логи прикрепляю.

hijackthis3.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis3.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Icesword

Запустите программу.

Внизу слева выберите меню File.

Появится аналог проводника. Найдите в нем файл руткита:

C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

Пофиксить в HijackThis следующие строчки

O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);SetServiceStart('Qaj45', 4);DeleteService('Qaj45');DeleteFile('C:\WINDOWS\system32\Drivers\Qaj45.sys');DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');DeleteService('VIDEO');SysCleanAddFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');DelAutorunByFileName('C:\WINDOWS\SYSTEM32\winhelp32.exe');BC_ImportDeletedList;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Отключите востановление системы. Установите драйвер мониторинга AVZPM и повторите логи.

Изменено 15 августа, 2008 пользователем akoK

[greywind]

Процесс svchost.exe без описания запущенный через DCOM при работе этого вируса-кейлоггера отсылал данные на адрес 195.5.117.238, адрес из пула адресов эстонской конторы предлагающей виртуальный хостинг.

Контактное лицо судя по хуизу

person: Roman Ivanov

address: Voru 1-28

address: 13612, Tallinn

address: Estonia

phone: +372 6321028

e-mail: roman@compic.ee

Не поленитесь написать данному человеку письмецо с прошением пресечь преступную деятельность одного из его клиентов, иначе зараза понесётся дальше

[ТроПа]

Простите, greywind, как-то не совсем понятен смысл Вашего сообщения. Не могли бы Вы пояснить. что имели ввиду.

[greywind]

чего непонятно-то? вирус описываемый в этой теме вот его дескриптион на всякий случай http://www.threatexpert.com/report.aspx?ui...d7-5e7a7f8a7a2d является кейлоггером, собирает пользовательские данные вроде логинов\паролей, номеров кредиток и т.п. собранные данные ведь нужно как-то отослать владельцу вируса, правильно? я и засёк неоднократно этот поток с помощью TCPView от sysinternals пока чистил комп от этого вируса. данные отсылались на адрес указанный выше. он в свою очередь принадлежит организации предоставляющей услуги виртуального хостинга, т.е. скорее всего это не они пользуются этим вирусом, но кто-то из их клиентов и покуда они ответствены за этот адрес, они могут повлиять на него.

А я в свою очреедь призываю просто проявить гражданскую позицию, чем больше жалоб придёт хостерам, тем быстрее они что-либо начнут делать