Вирус. Win32/Mebroot.

@Nazaruch · Регистрация: 03.10.2011

Author24 — интернет-сервис помощи студентам

Зробив як описано в FAQ. Якщо шось не так або криво - прошу сказати. Виправлю,доповню.

@~~Katharsis~~ · 03.10.2011, 14:24

Nazaruch, пишите по русски

@Nazaruch · 03.10.2011, 14:30 **[ТС]**

Сообщение от Katharsis

Nazaruch, пишите по русски

Сделал как описано в FAQ. Если что-то не так или криво - прошу сказать. Исправлю, дополню.

@~~Katharsis~~ · 03.10.2011, 14:47

1.В целях безопасности скачайте и установите Internet Explorer 8

обновите:
adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки

2. Если вы не добавляли этот сайт в доверенные (открыть не смог, поэтому мне не известно что там), в логе сканирования Hijackthis отметьте:

O15 - Trusted Zone: http://www.flvdirect.com
O15 - ESC Trusted Zone: http://www.flvdirect.com

нажмите "Fix checked"

3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\system32\9f69d7c0.exe','');
 DeleteFile('C:\WINDOWS\system32\9f69d7c0.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5.сделайте повторные логи avz и rsit.
6. смените все пароли

@Nazaruch · 03.10.2011, 16:33 **[ТС]**

Сообщение от Katharsis

6. смените все пароли

А что имеете в виду - какие именно пароли ?
Все остальное сделал, щас виложу файли.

@akok · 03.10.2011, 16:39

Сообщение от Nazaruch

А что имеете в виду - какие именно пароли ?

Все которые связанные с личной информацией (ISQ, email, банкинг, он-лайн игрушки...... )

@Nazaruch · 03.10.2011, 17:45 **[ТС]**

Сделал как вы написали. Файл quarantine.zip отправил.

@~~Katharsis~~ · 03.10.2011, 18:01

из найденного malwarebytes удалите:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken.
Files Infected:
c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000200002i\runhiddenconsole.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000f900002i\racing.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\4ad000006300003i\cmd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Nazar\application
data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000200002i\runhiddenconsole.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Nazar\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000f900002i\racing.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Nazar\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\4ad000006300003i\cmd.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Nazar\local settings\application data\Mozilla\Firefox\Profiles\k9dpnong.default\Cache\2\D8\D8501d01 (Trojan.Agent) -> No action taken.

Лог повторите.

Как ощущения?

@Nazaruch · 03.10.2011, 18:33 **[ТС]**

Все сделал как описано више. НОД дальше видит етот троян (((

@~~Katharsis~~ · 03.10.2011, 18:46

Сообщение от Katharsis

Лог повторите.

имел ввиду malwarebytes

1.Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip);

Запустите файл TDSSKiller.exe;

Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

2. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@Nazaruch · 03.10.2011, 19:23 **[ТС]**

Еще раз лог.

@~~Katharsis~~ · 03.10.2011, 19:40

дополнительно удалите:

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken.

+ сделайте логи tdsskiller и combofix

@Nazaruch · 03.10.2011, 20:15 **[ТС]**

Лог TDSSKiller и ComboFix

@~~Katharsis~~ · 03.10.2011, 20:34

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.*

Код

RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
RegNull::
[HKEY_USERS\S-1-5-21-1801674531-616249376-1417001333-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB267761-5007-2B1C-8CA8-4ADD6A27CDB8}*]
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Компьютер перезагрузится
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Сейчас вирус ловится?

@Nazaruch · 03.10.2011, 20:45 **[ТС]**

Да ловится.

@~~Katharsis~~ · 03.10.2011, 20:58

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.*

Код

KillAll::
MBR::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Компьютер перезагрузится
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

@Nazaruch · 03.10.2011, 21:04 **[ТС]**

Сообщение от Katharsis

Скопируйте ...

Сделал. Но в процесе сканирования появляэтся окно.

@~~Katharsis~~ · 03.10.2011, 21:07

скрипт не выполнился? Если выполнился, CFScript.txt должен удалиться с рабочего стола

@Nazaruch · 03.10.2011, 21:21 **[ТС]**

Сообщение от Katharsis

Скопируйте KillAll::

Все ок скрипт удалился, в 2 случаях.

@~~Katharsis~~ · 03.10.2011, 21:27

ок. после сканирования tdsskiller, когда открылось окно "результаты проверки" вы для найденного у вас Trojan-Clicker.Win32.Wistler.c какое действие выбрали? Только "скопировать в карантин"?

сейчас ловится?

@~~Katharsis~~ Заблокирован
	03.10.2011, 14:24	2
	Nazaruch, пишите по русски 0

@Nazaruch 1 / 1 / 0 Регистрация: 03.10.2011 Сообщений: 14
	03.10.2011, 14:30 [ТС]	3
	Сообщение от Katharsis Nazaruch, пишите по русски Сделал как описано в FAQ. Если что-то не так или криво - прошу сказать. Исправлю, дополню. 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 14:47	4
	1.В целях безопасности скачайте и установите Internet Explorer 8 обновите: adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки 2. Если вы не добавляли этот сайт в доверенные (открыть не смог, поэтому мне не известно что там), в логе сканирования Hijackthis отметьте: O15 - Trusted Zone: http://www.flvdirect.com O15 - ESC Trusted Zone: http://www.flvdirect.com нажмите "Fix checked" 3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\9f69d7c0.exe',''); DeleteFile('C:\WINDOWS\system32\9f69d7c0.exe'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5.сделайте повторные логи avz и rsit. 6. смените все пароли 0

@Nazaruch 1 / 1 / 0 Регистрация: 03.10.2011 Сообщений: 14
	03.10.2011, 16:33 [ТС]	5
	Сообщение от Katharsis 6. смените все пароли А что имеете в виду - какие именно пароли ? Все остальное сделал, щас виложу файли. 0

@akok 2828 / 846 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	03.10.2011, 16:39	6
	Сообщение от Nazaruch А что имеете в виду - какие именно пароли ? Все которые связанные с личной информацией (ISQ, email, банкинг, он-лайн игрушки...... ) 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 18:01	8
	из найденного malwarebytes удалите: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Registry Values Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken. Files Infected: c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000200002i\runhiddenconsole.exe (Trojan.Agent) -> No action taken. c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000f900002i\racing.exe (Trojan.Agent) -> No action taken. c:\documents and settings\AFD_33\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\4ad000006300003i\cmd.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Nazar\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000200002i\runhiddenconsole.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Nazar\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\400000f900002i\racing.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Nazar\application data\thinstall\{eb8c2b22-9813-4712-99e5-a15602b66160}\4ad000006300003i\cmd.exe (Trojan.Agent) -> No action taken. c:\documents and settings\Nazar\local settings\application data\Mozilla\Firefox\Profiles\k9dpnong.default\Cache\2\D8\D8501d01 (Trojan.Agent) -> No action taken. Лог повторите. Как ощущения? 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 18:46	10
	Сообщение от Katharsis Лог повторите. имел ввиду malwarebytes 1.Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip); Запустите файл TDSSKiller.exe; Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется. 2. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 19:40	12
	дополнительно удалите: Registry Keys Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken. Registry Values Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken. + сделайте логи tdsskiller и combofix 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 20:34	14
	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.* Код RegLock:: [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences] RegNull:: [HKEY_USERS\S-1-5-21-1801674531-616249376-1417001333-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB267761-5007-2B1C-8CA8-4ADD6A27CDB8}*] Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. http://safezone.cc/images/cfscript.gif Компьютер перезагрузится Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Сейчас вирус ловится? 0

@Nazaruch 1 / 1 / 0 Регистрация: 03.10.2011 Сообщений: 14
	03.10.2011, 20:45 [ТС]	15
	Да ловится. 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 20:58	16
	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.* Код KillAll:: MBR:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. http://safezone.cc/images/cfscript.gif Компьютер перезагрузится Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 21:07	18
	скрипт не выполнился? Если выполнился, CFScript.txt должен удалиться с рабочего стола 0

@~~Katharsis~~ Заблокирован
	03.10.2011, 21:27	20
	ок. после сканирования tdsskiller, когда открылось окно "результаты проверки" вы для найденного у вас Trojan-Clicker.Win32.Wistler.c какое действие выбрали? Только "скопировать в карантин"? сейчас ловится? 0