Что-то мне тут не нравится

[dytyna]

В процессе сканирования АВЗ почему-то убил ATF-Cleaner

logs.rar

logs.rar

Изменено 11 мая, 2009 пользователем dytyna

[Alex56]

1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить"

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('e:\windows\system32\servises.exe');QuarantineFile('e:\windows\system32\servises.exe','');DeleteFile('e:\windows\system32\servises.exe');BC_ImportALL;ExecuteSysClean;ExecuteRepair(6);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Выполните еще этот скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip отправьте на newvirus@kaspersky.com

2. Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesE:\1.exeH:\1.exeI:\1.exeH:\v0s.cmdH:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exeH:\LaunchU3.exeI:\jfjtdx.exeE:\WINDOWS\system32\update45683559.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Сделайте новые логи

[dytyna]

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder E:\1.exe not found.

File/Folder H:\1.exe not found.

File/Folder I:\1.exe not found.

File/Folder H:\v0s.cmd not found.

File/Folder H:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe not found.

File/Folder H:\LaunchU3.exe not found.

File/Folder I:\jfjtdx.exe not found.

E:\WINDOWS\system32\update45683559.exe moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{357c31d1-8160-11dd-873c-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5c2b3330-0ae6-11de-9e40-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b543f2d1-e60b-11dc-85c2-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa507ea0-309c-11de-9ea7-00195b38c377}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ffb673d0-0bdc-11de-9e44-00195b38c377}\\ deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 05112009_151644

Files moved on Reboot...

E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

[Alex56]

Где новые логи.

Сделайте еще следующее:

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

[dytyna]

Так не все же сразу! Вот, уже готовы.

Почему программа пишет, что разрешен автозапуск с разных носителей, если он давным-давно отключен?

Сейчас займусь следующим.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe.

Не могу взять. Открывается страничка только из кеша. Не загружается. Можно какое-нибудь зеркало? Или на почту.

logs_2.rar

logs_2.rar

[Alex56]

Отключение автозапуска

beginRegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);	end.

Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет.

Ссылка рабочая может что-то на сайте.

[dytyna]

Что с проблемами, ничего плохого в логах не увидел, может Gmer покажет.

Ссылка рабочая может что-то на сайте.

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

[Alex56]

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

Это зловреды постарались.

Что с проблемами и с логом Gmer?

[dytyna]

Это зловреды постарались.

Что с проблемами и с логом Gmer?

Лог Гмер есть наконец. Очень долго тестировал.

Автозапуск сохранился. Отключу сама.

logy.log

logy.log

[Alex56]

Чисто. Что с проблемами?

[ТроПа]

Откуда взялся автозапуск, если его не было? Не пользуюсь автозапуском год уже, со времени регистрации на сайте. И в других местах отключаю.

Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного.

[dytyna]

Просто АВЗ смотрит другой параметр реестра, согласно которуму она считает включённым автозапуск, хотя он и отключен. В этом нет ничего страшного.

Да нет, он и вправду откуда-то взялся. Специально вставила флешку, и система нашла, какое там на ней содержимое. До тестирования все было отключено.

Alex56: сбоев вроде нет. Сейчас новой темой ставлю другой комп. Там АВЗ нашет что-то интересное.

[dytyna]

Кстати, вот ответ из Касперского на карантин

servises.exe - Email-Worm.Win32.Joleee.baw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Изменено 12 мая, 2009 пользователем dytyna

[Alex56]

Ну раз проблем нет, то хорошо.

[dytyna]

Ну раз проблем нет, то хорошо.

Нет, оно продолжает мне не нравиться.

Слишком много чего-то тянется при запуске интернета, а теперь связь блокируется безо всяких предупреждений и разорвать соединение невозможно. Наверное, какие-то хвосты все же остались.

logs_3.rar

logs_3.rar

[thyrex]

Скорее всего пытается обновляться софт для Nokia (E:\Program Files\Nokia\Nokia PC Suite 6)

Попробуйте отключить его запуск через msconfig

[dytyna]

Отключила, не помогло

[thyrex]

Сделайте логи полиморфным AVZ (ссылка в моей подписи)

[dytyna]

Сделайте логи полиморфным AVZ (ссылка в моей подписи)

Файл linux.exe?

Все, поняла :)

Какой-то callback оно удаляло - откуда такая гадость, которой не было..?

LOG.rar

LOG.rar

Изменено 14 мая, 2009 пользователем dytyna

[dytyna]

Еще интересней все стало...

Два дня назад на этот компьютер прислали файл pdf, сгенерированный из Adobe InDesign, его объем 22 мб (соотвертсвует отправленному). Acrobat отказался открыть файл, ссылаясь на его повреждения. После попытки просмотреть "свойства" файла кликом правой мыши все зависало или конкретно тормозило.

После этого взялась за лечение (первые логи в этой теме).

В процессе создания логов AVZ упорно удалял ATF-Cleaner, показывая в ней Worm.Win32.AutoRun.ahuy

После сегодняшних логов полиморфным AVZ по настоянию thyrex система работала вроде как без проблем.

Но файл pdf таки нужно было открыть и просмотреть. После повторной попытки сделать это все повторилось. Если внимательно присмотреться, то видно, что перед появлением окошечка с предупреждением от Acrobat быстро открывается узкое окошко с горизонтальной прокруткой (как бы что-то загружается).

Может ли такое быть, чтобы вирус находился в pdf-файле? Или что-то присутствующее в системе блокирует открытие файла?

Просто понять не могу...

[thyrex]

Чем открываете pdf-файлы? Acrobat Reader'ом? Какой версии?

[dytyna]

Чем открываете pdf-файлы? Acrobat Reader'ом? Какой версии?

Нет, не Reader'ом, Adobe Acrobat, версия 5. До сих пор работал исправно; где-то лежали высшей версии, но переставлять вроде было незачем. И сейчас открываются другие файлы. Другой файл той самой книги, да и намного большие (170 мб) нормально открывались и открываются.

[thyrex]

Я его и имел в виду.

Ну тогда в нем должно быть полно уязвимостей, которые могут использоваться в неблаговидных целях.

Не зря ведь советуют перейти уже и на 9-ю версию

[dytyna]

Все-таки, мне кажется, тут дело не в акробате. Ну, да Бог с ним, с тем файлом.

Связь вот постоянно обрывается (я уже об этом писала выше). Приблизительно через 10 минут после присоединения все замирает, и пока система не перегрузится, восстаносить связь не удается.

Логи еще раз.

logs_new.rar

logs_new.rar

[Pili]

dytyna: Здравствуйте. Файл tcpip.sys сами патчили? http://windowsupdate.microsoft.com)

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe