Последствия лечения dr.webом

[lamauser]

Добрый день.

Веб нашел два вируса, названия к сожалению не запомнил, но помню, что один был в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\******

а второй в C:\WINDOWS\system32\x

Веб лиц. с утренними базами, так что проблем не ожидал, однако после этого комп начал неадекватно себя вести. Перезагружаться, при включении spider guard около минуты висит неактивным. Начали выскакивать ошибки svchost.exe, то память не может быть записана, то исключение unknown software exeption(0x00000fd) в приложении по адресу 0х5bd68ab9 ок-завершение, отмена-отладка.

Поскольку началось минут через 30 после удаления вируса, подозреваю, что не долечился. Прошелся свежим курейтом в сейф моде, чисто. Вот логи. Прошу помощи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

Kido подхватили.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[lamauser]

Kido подхватили.

я просто счастлив :blush2: , утречком заимусь :blush2:

[lamauser]

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.

  Windows XP Professional с пакетом обновления 2 (SP2)

• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.

2.

Вопрос, сначала проделать все что в инструкции по комбо, выключить его и перетащить на его иконку дистриб консоли?, чето я в 2 ночи туплю)

[lamauser]

пертаскиваю, открывается синие окошко и тишина, нет ни надиси о том что он готовится к работе, ни лиц соглашения...

[lamauser]

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** )

Reg HKLM\SYSTEM\CurrentControlSet\Services\brgxq

Reg HKLM\SYSTEM\ControlSet002\Services\brgxq

:blush2:

SDFix: Version 1.240

Run by X1 on 18.04.2009 at 06:41

Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Report.txt

gmer.log

Report.txt

gmer.log

[thyrex]

Если лог gmer делался позже, то выполните ниже приведенные инструкции (судя по времени так оно и есть)

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service brgxqgmer.exe -del file "C:\WINDOWS\system32\ummexsba.dll"gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\brgxq"gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brgxq"gmer -reboot

И запустите cleanup.bat

[lamauser]

И запустите cleanup.bat

сделал, во время отработки скрипта, выскочило окошко что ключ HKLM\SYSTEM\ControlSet002\Services\brgxq не может быть удален

вот новый лог gmer

ошибки все лезут :D

gmer2.log

gmer2.log

Изменено 18 апреля, 2009 пользователем lamauser

[akoK]

Пропустите этап с консолью и сделайте лог комбофикса.

[lamauser]

Пропустите этап с консолью и сделайте лог комбофикса.

Вот combo-просто лог

combo_console-лог с консолью

з.ы

Установил патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Обновил Веб до 5.0

кидокиллер от каспера ничего не видит.

combo.txt

combo_console.txt

combo.txt

combo_console.txt

Изменено 18 апреля, 2009 пользователем lamauser

[akoK]

Отключите автозапуск со съемных носителей

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::G:\u.batc:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007103120071101\index.datDriver::dlclcbrgxqFolder::Registry::[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"7759:TCP"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{731c45a3-4a60-11dd-8be2-001d7d5c97b9}]FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[thyrex]

lamauser, эта тема и тема на VI (http://virusinfo.info/showthread.php?t=44061) один и тот же компьютер?

[lamauser]

Сделал, почему то прежде чем появился инет пришлось несколько раз перезагрузиться...

thyrex

да, но лечение осуществляю сдесь.

з.ы скрип исчез с рабочего стола, а из корня с изчезла папка ComboFix

ComboFix.rar

ComboFix.rar

Изменено 18 апреля, 2009 пользователем lamauser

[akoK]

Признаков Kido не вижу. Если проблем нет, то:

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

Если есть, то повторите лог Gmer.

[lamauser]

отправил

C:\SDFix\backups\backups.zip не существует, есть бек реестра, его выслал.

Хотелось бы узнать, что именно добило зловреда, есть ли вероятность что вирус есть на флешке которую я подключал к зараженой станции? Как её вылечить если там важная инфа и форматировать нежелательно.

Всем большое спасибо.

Проблем пока нет. :D

[akoK]

Kido садится на флешки. Для безопасной работы лучше отключить автозапуск и почистить флешки при помощи файлового менеджера (far, total end ect.)

В карантин ничего инетересного не далось. Машину необходимо проверить антивирусом, для ловли неактивных хвостов Kido.

[lamauser]

какие файлы искать на флешках?

подозрительного ничего не видно

прошелся полной проверкай веба 5.0 в обычном режиме..ругнулся только на комбофикс.

вроде все работает