Форум 3DNews

Форум 3DNews (http://forum.3dnews.ru/index.php)
-   Информационная безопасность, защита от вирусов (http://forum.3dnews.ru/forumdisplay.php?f=38)
-   -   Нужна помощь в удалении зловреда (http://forum.3dnews.ru/showthread.php?t=100482)

Werter123 27.08.2009 18:36

Нужна помощь в удалении зловреда
 
Ситуация такая.
Недавно обнаружил при сканировании системы, в списках сканируемых файлов на этапе сканирования памяти и активных служб и программ промелькивают такие файлы как c:\Windows\9129837.exe и процесс hide_srv2.sys. Стал искать информацию в инете. Само собой разумеется эти файлы есть зловред. Думаю ладно. Начинаю искать их - найти не могу. Ладно в инете нахожу информацию о том как их удалить. Везде написаны стандартные методы удаления, как то зайти в реестр и удалить такие то и такие строки. Но парадокс в том что я этих строк в реестре не могу найти. Ладно думаю. Нахожу в инете скрипт для АВЗ по удалению сей заразы. Юзаю скрипт - АВЗ грит что ничего подобного не находит у меня на компе. Далее снимаю винт - цепляю к машине с каспером - тот тоже молчит.
Вот у меня и возникает вопрос - что это вообще такое, точнее что это такое я знаю, вопрос что делать в этой ситуации?

Forcce 28.08.2009 01:49

отвечу словами самого В. Гюго --- "Можно сопротивляться вторжению армий, вторжению идей сопротивляться невозможно."
да и переустанови систему сам не сталкивался но слышал что может помочь !!

Werter123 28.08.2009 06:12

Forcce Этот вариант рассматривается как самый последний

Bazel 28.08.2009 07:49

Цитата:

Сообщение от Werter123 (Сообщение 1698233)
Нахожу в инете скрипт для АВЗ по удалению сей заразы.

в курсе, что скрипты АВЗ относительно индивидуальны и не обязаны помогать на другой машине ?
Цитата:

Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
вот его-то и приложи сюда.

Werter123 28.08.2009 16:52

Вложений: 1
Прикладываю

Bazel 28.08.2009 17:14

Werter123 ээээ, он у тебя вообще загружается быстрее чем за 40 минут :confused:
я в шоке с такого лога :eek:
ждиииите ....

Werter123 28.08.2009 17:31

ты про комп? Конечно . Нормальная загрузка - примерно от 3 до 4 минут - точно не засекал

Werter123 добавил :

к удивлению

Bazel 28.08.2009 17:50

для начала - очевидное: (файл host правил ? если нет, то добавь ExecuteRepair(13);)
-------------
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('WINIO');
SetServiceStart('WINIO', 4);
DeleteService('WINIO');
SetServiceStart('gdrv', 4);
StopService('gdrv');
DeleteService('gdrv');
StopService('IQXJW');
SetServiceStart('IQXJW', 4);
DeleteService('IQXJW');
BC_DeleteFile('C:\WINDOWS\gdrv.sys');
BC_DeleteFile('c:\temp\IQXJW.exe');
BC_DeleteFile('H:\Distr\psc2071\winio.sys');
ExecuteRepair(16);
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-------------

Werter123 28.08.2009 18:13

насчет Hosts - поправил уже
так скрипт выполнил - что далее?

Bazel 28.08.2009 18:30

надо разобраться с автозагрузкой, там у тебя каша...
но это уже когда домой приеду, вечером :(

Bazel добавил :

зы все непонятные ддл-ки и екзе - отправляй на virustotal.com

Werter123 28.08.2009 18:34

с автозагрузкой я разбираюсь уже. Скажем так да там много чего согласен. Но скажем так - что из того что там есть соответсвует тому что я ищу? (из первого моего поста)
Все непонятные ДЛЛ ки давно уже проверялись на вирустотале и ничего особенного в них не было найдено

Bazel 28.08.2009 22:24

Цитата:

Сообщение от Werter123 (Сообщение 1698694)
Все непонятные ДЛЛ ки давно уже проверялись на вирустотале и ничего особенного в них не было найдено

странно, не должно быть такого засилья левых длл в автозагрузе...
еще раз скрипт выполни и приложи...

Werter123 29.08.2009 12:44

хотелось бы знать какие из ДЛЛ левые ?
По твоему мнению

Werter123 29.08.2009 13:48

Вложений: 1
еще один лог

Кстати выполнил тот скрипт что ты писал. После него проверил. Ве осталось на своих местах. То есть точно также антивирь показывает что в памяти имеют место два процесса, (описаны в первом посте моем) но я также не могу их найти и соответственно так же не могу в реестре найти на них строки (искал по описанию как на сайте Каспера так и на других сайтах)
Мистика блин какая то

akok 01.09.2009 15:40

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('IQXJW', 4);
 SetServiceStart('WINIO', 4);
 QuarantineFile('C:\WINDOWS\system32\dwmapi.dll','');
 QuarantineFile('H:\Distr\psc2071\winio.sys','');
 QuarantineFile('c:\temp\IQXJW.exe','');
 DeleteFile('c:\temp\IQXJW.exe');
 DeleteFile('H:\Distr\psc2071\winio.sys');
 DeleteService('IQXJW');
 DeleteService('WINIO');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Повторите логи AVZ и необходим еще лог:
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Werter123 01.09.2009 22:52

akok
Скрипт такой уже делал раза два
толку никакого - как появлялись эти два файла во время проверки так и появляются (то есть идет строка с примерно такой надписью - Идет проверка памяти и точек загрузки системы... и внизу промелькивают файлы
В принципе если разобраться мне просто это действует больше на нервы чем на мой комп... :)

akok 02.09.2009 10:05

Werter123, теперь я Вас нашел. Я на многих ресурсах помогаю.

Acrobat 8.0 - обновите до Acrobat 9.х

Ладно заничт будем действовать альтернативными путями.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. downloading the update MBAM
!!! Смотрите, что удаляете... программа очень нелюбит варез.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Если не сложно прикрепите полученные логи к теме.

Werter123 03.09.2009 11:27

Вложений: 1
Сейчас попытаюсь прикрепить
пока первый лог

Werter123 03.09.2009 20:25

кстати вот появился такой вопрос
насколько я понял есть один из вариантов защиты от вирусов (например от тех же авторанов (autorun.inf) это создать такой файл в корне с аттрибутами только для чтения (в свое время в ветке по антивирусы ктото даже выкладывал батник по созданию такого файлика). Не может ли быть так что это сам антивирусник создает в памяти такие процессы для "обмана" зловреда? (предполагаю потому что два критерия которые подтверждают нахождение вируса в системе не доказываются (нет наличия этих файлов в системе и нет наличия строк в реестре)
сразу говорю - это только размышления

akok 03.09.2009 22:41

Werter123, нет таких методик в АВ ПО я не встречал. А вот вредоносы научились маскировать свое присутствие в системе.


Текущее время: 11:58. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot