drel Posted June 19, 2009 Report Share Posted June 19, 2009 Здравствуйте! По аське пришла ссылка на файл foto20.scr, так как kav 8.0.0.454 с новыми базами ни на какие вирусы не отругался, то этот файл я открыл. Сразу появилась такая заставка с требованием отправить смс , которую никак нельзя было убрать, в том числе перезагрузкой. В безопасном режиме система не запускалась, шла на перезагрузку. Это ХР. Но на компе установлена ещё и 2003 винда. В неё зайти получилось, касперский, который установлен в 2003, никаких вирусов не обнаружил, хотя базы новые. Зато удалось зайти в 2003 в безопасном режиме и запустить cureit. Cureit нашёл вирусы, затем я запускал avz, всё прошло нормально. А вот rsit выдал ошибку и только один лог. Эти логи на всякий случай в архиве LOG_2003.zip. После всего проделанного получилось зайти в ХР в обычном режиме (в безопасном комп всё равно уходит на перезагрузку). Запустил avz и rsit, логи прилагаются. Подскажите, пожалуйста, что теперь делать, остались ли ещё вирусы? LOG_2003.zip virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt LOG_2003.zip virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 19, 2009 Report Share Posted June 19, 2009 (edited) Рекомендации для XP Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');QuarantineFile('C:\WINDOWS\system\dllcache.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\svvghost.exe','');DeleteFile('C:\WINDOWS\svvghost.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('C:\WINDOWS\system\dllcache.exe');DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(10);RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пофиксить в HiJack R3 - URLSearchHook: (no name) - - (no file)F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, Сделайте новые логи Рекомендации для 2003 Пофиксить в HiJack O4 - HKLM\..\Run: [ilasss] G:\WINDOWS\system\lsass.exeO4 - HKCU\..\Run: [Administrator] G:\Documents and Settings\Administrator\Administrator.exe /i Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('G:\WINDOWS\system\lsass.exe','');QuarantineFile('G:\Documents and Settings\LocalService\LocalService.exe','');QuarantineFile('G:\Documents and Settings\Administrator\Administrator.exe','');QuarantineFile('G:\WINDOWS\system32\drivers\acpi32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\amd64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ati64si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\fips32cup.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\i386si.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\ksi32sk.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\netsik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\nicsk32.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\port135sik.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\securentm.sys','');QuarantineFile('G:\WINDOWS\system32\drivers\systemntmi.sys','');DeleteService('systemntmi');DeleteService('securentm');DeleteService('port135sik');DeleteService('nicsk32');DeleteService('netsik');DeleteService('ksi32sk');DeleteService('i386si');DeleteService('fips32cup');DeleteService('ati64si');DeleteService('amd64si');DeleteService('acpi32');DeleteFile('G:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('G:\WINDOWS\system32\drivers\securentm.sys');DeleteFile('G:\WINDOWS\system32\drivers\port135sik.sys');DeleteFile('G:\WINDOWS\system32\drivers\nicsk32.sys');DeleteFile('G:\WINDOWS\system32\drivers\netsik.sys');DeleteFile('G:\WINDOWS\system32\drivers\ksi32sk.sys');DeleteFile('G:\WINDOWS\system32\drivers\i386si.sys');DeleteFile('G:\WINDOWS\system32\drivers\fips32cup.sys');DeleteFile('G:\WINDOWS\system32\drivers\ati64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\amd64si.sys');DeleteFile('G:\WINDOWS\system32\drivers\acpi32.sys');DeleteFile('G:\Documents and Settings\Administrator\Administrator.exe');DeleteFile('G:\Documents and Settings\LocalService\LocalService.exe');DeleteFile('G:\WINDOWS\system\lsass.exe');RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(6);RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Edited June 19, 2009 by thyrex Quote Link to comment Share on other sites More sharing options...
drel Posted June 19, 2009 Author Report Share Posted June 19, 2009 Новые логи от ХР. Info.txt не появился. Кстати, можно ли запускать avz и HiJackThis из одних и тех же папок для ХР и 2003? virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Quote Link to comment Share on other sites More sharing options...
drel Posted June 19, 2009 Author Report Share Posted June 19, 2009 Новые логи от 2003. Rsit опять вылетел с той же ошибкой. На newvirus@kaspersky.com отправил два файла, ответа пока нет. virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt Quote Link to comment Share on other sites More sharing options...
drel Posted June 19, 2009 Author Report Share Posted June 19, 2009 Пришёл ответ насчёт второго файла, из 2003. Видимо, какие-то проблемы с кодировкой. Здравствуйте,askBar.dll, vksaver.dll No malicious code were found in these files. Please quote all when answering. The answer is relevant to the latest bases from update sources. > Windows 2003 ----------------- С уважением, Островерхов Владимир Вирусный аналитик ЗАО "Лаборатория Касперского" Тел.: +7 (495) 797-8700 E-mail: newvirus@kaspersky.com www.kaspersky.com 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 www.kaspersky.ru www.viruslist.ru Кодировку я Штирлицом поправил, а предложение насчёт неё убрать забыл. :blink: Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 19, 2009 Report Share Posted June 19, 2009 (edited) В логах с ХР ничего опасного не обнаружено. Папку C:\Program Files\AskBarDis можете удалить вручную вместе с оставшимся в ней содержимым. На этой системе проблема решена? В логах с 2003 ничего опасного также не обнаружено. Программы для сбора логов можно запускать из одних и тех же папок. Edited June 19, 2009 by thyrex Quote Link to comment Share on other sites More sharing options...
drel Posted June 19, 2009 Author Report Share Posted June 19, 2009 На ХР вроде бы всё работает нормально, Спасибо большое! :) А это нормально, что под 2003 rsit вылетает с ошибкой? И почему каспер не отругался на вирус при его загрузке? Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 19, 2009 Report Share Posted June 19, 2009 Отвечу только по поводу того, что антивирус не заругался. Ни один разработчик антивирусных решений не дает 100% гарантии защиты. Quote Link to comment Share on other sites More sharing options...
drel Posted June 19, 2009 Author Report Share Posted June 19, 2009 Ещё раз большое спасибо! :) Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 22, 2009 Report Share Posted June 22, 2009 (edited) Только что словил эту заразу, пришлось СМС отправлять. Таким образом в Контакте для кого то собирают голоса(якобы). Логи подготовлю, дабы профи глянули, не осталось ли еще чего. От меня заразилась знакомая-так же через аську, но поскольку я уже оплатил сие приключение-я ей сказал заветное слово и у нее стало все нормально. Кто попадется на эту пакость, в поле, куда нужно ввести заветное слово-введите слово ,, пользователя ,, без кавычек. :) И еще один компьютер сейчас привет в чувство. Заветное слово помогло. Edited June 22, 2009 by Sanitar Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 23, 2009 Report Share Posted June 23, 2009 Логи сканирования. Там что то нашлось-это и есть последствия этого смс вымогательства, или это уже сидело? avz_log.txthijackthis.log___________________..txtRsit.txt Утилита от каспера не запустилась, ей бы еще проверил. hijackthis.log avz_log.txt ___________________..txt Rsit.txt Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 23, 2009 Report Share Posted June 23, 2009 Sanitar, выложите нормальные логи AVZ: virusinfo_syscheck.zip, virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 23, 2009 Report Share Posted June 23, 2009 Sanitar, выложите нормальные логи AVZ: virusinfo_syscheck.zip, virusinfo_syscure.zip Сори, забылся, давно не выкладывал логи. Сейчас идет сканирование малвар***тсом-пока 6 штук нашлось. Кстати, в списке логов, 3-й это лог куриэльта, просто я инфу скопировал в блокнот. Там как раз рассадник найденного. Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 23, 2009 Report Share Posted June 23, 2009 (edited) Логи. avz_sysinfo.htmavz_sysinfo.htm И лог Малваре на всякий случай. mbam_log_2009_06_23__20_05_25_.txt И куриэльт, опять находит но сделать ничего не может. куриельт._не_удаляемый..txt avz_sysinfo.htm avz_sysinfo.htm mbam_log_2009_06_23__20_05_25_.txt куриельт._не_удаляемый..txt Edited June 23, 2009 by Sanitar Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 23, 2009 Report Share Posted June 23, 2009 (edited) Логи MBAM правильно делать так Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено. Edited June 23, 2009 by thyrex Quote Link to comment Share on other sites More sharing options...
ABC Posted June 24, 2009 Report Share Posted June 24, 2009 ,,пользователя,, без кавычек после ввода этого слова картинка пропала, большое спасибо :) :) , но я хотел бы узнать точно ли это больше не появится? Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 25, 2009 Report Share Posted June 25, 2009 CureIt не может удалить файлы из C:\System Volume Information. Эту папку можно просто удалить вообще. У Вас ведь восстановление системы отключено.Все пошинковал. А по логам что??? Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 25, 2009 Report Share Posted June 25, 2009 Надо сделать правильно лог MBAM (см. начало сообщения №15) Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 25, 2009 Report Share Posted June 25, 2009 Надо сделать правильно лог MBAM (см. начало сообщения №15) Именно так лог и сделан. Что не так? Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 25, 2009 Report Share Posted June 25, 2009 No action takenНе выбрано действие, т.е. не сделано все, что написано после этих слов после сканирования выберите... Quote Link to comment Share on other sites More sharing options...
Sanitar Posted June 26, 2009 Report Share Posted June 26, 2009 Последнее. Тип проверки: Полная (C:\|D:\|E:\|F:\|) Проверено объектов: 193622 Прошло времени: 30 minute(s), 13 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 2 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: c:\documents and settings\владислав\desktop\кейген для малваре\yaya.exe (Dont.Steal.Our.Software.A) -> Not selected for removal. d:\program files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Quarantined and deleted successfully. Quote Link to comment Share on other sites More sharing options...
thyrex Posted June 26, 2009 Report Share Posted June 26, 2009 По логам больше не нахожу ничего плохого. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.