Решена - Троян в памяти

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Espiegle, 24 мар 2012.

  1. Espiegle

    Espiegle Junior User

    Здравствуйте. На служебном компьютере возникла такая проблема. Нод 32 выдал, что в памяти обнаружены трояны Downloader Carberp.AD и Delf.OEW а также написал, что очистка невозможна. Также обнаружилось, что на компе отключилось восстановление системы. При попытке запустить пишет, что оно запрещено групповыми политиками, обратитесь к администратору домена, хотя раньше восстановление работало. Политику изменить не удается(((. Также перестал запускаться браузер IE. Сразу выдает сообщение об ошибке и закрывается. С другого браузера выйти в интернет тоже не удается. Возможно конечно, что и вообще провайдер заблокировал компьютер из-за вирусов, не знаю точно возможно ли это, комп. не мой. На эл. почту работнику приходило какое-то письмо после этого, но она его не прочитала а сразу удалила, так что о чем оно было, неизвестно.
    Все логи здесь одним архивом
    http://zalil.ru/32939502
    Только к сожалению, я невнимательно прочитала инструкцию о том, что после получения архива с вирусами в AVZ, компьютер нужно было перезагрузить, а уже потом сохранять образ автозапуска. Поэтому пришлось сохранить образ автозапуска еще раз. Этот второй называется так SU26SPEC2_2012-03-24_15-00-30.TXT2
    А теперь еще и по локальной сети невозможно попасть к зараженному компьютеру. Помогите, пожалуйста! Заранее спасибо.
     
    Последнее редактирование модератором: 26 мар 2012
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена;
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
    exec "C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE" UNINSTALL
    bl 5840CB8702727C11FE496FB6637C6499 1515352
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\AFONLTK81KW.DLL
    bl 9FCC998E45FB546BD23BB11BBF929A5B 115240
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\AFONLTK81KW.DLL
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NF5NV6YZVNS.EXE
    bl D2FDEC94291C76C36622B69C315061A3 194560
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NF5NV6YZVNS.EXE
    deltmp
    delnfr
    exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
    exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
    czoo
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится;
    - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес sendvirus2011@gmail.com. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

    Если после перезагрузки не будет работать интернет, выполните команду в командной строке:
    netsh winsock reset
    Перезагрузитесь и настройте сетевой подключение заново

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. Espiegle

    Espiegle Junior User

    Спасибо, все сделали в соответствии с инструкцией.
    Вот лог MBAM
    http://zalil.ru/32944558
    А вот архив с вирусом
    http://rghost.ru/download/37211331/4afabfb95fcd6cd99697c2d2e0b4472c0d0a1004/2012-03-25_14-41-37.7z
    А что делать с 4 проблемами, которые были найдены при сканировании? Можно их удалять уже или оставить все как есть:confused:?
    И да, интернет не работает и антивирус тоже перестал запускаться, пишет при загрузке "возникла ошибка при запуске сервисов. Анализ протоколов POP3 HTTP не функционирует":(
     
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    в Mbam удалите все кроме этого:
    выполняли команду что я выше написал?
     
  5. Espiegle

    Espiegle Junior User

    Да, после netsh winsock reset все заработало. Не обновлялся только антивир. НО! Стоило мне только удалить эти "проблемы" в МВАМ, оставив только эту HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter)
    как у меня возникла проблема покруче предыдущих.:eek: После перезагрузки рабочий стол перестал реагировать на курсор. Ни один ярлык не запускается. :( Похоже там было еще что-то чего нельзя было удалять, да? Надо было мне наверное еще сначала сделать скриншот с окна программы МВАМ, но не получилось почему-то. А теперь я честно говоря в полной растерянности, что не так сделала и можно ли это как-то исправить?
     
  6. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    А что происходит при нажатии на ярлык? Попробуй повторно перезагрузиться, не должно быть проблем
     
  7. Espiegle

    Espiegle Junior User

    Несколько раз уже перезагружалась. Комп запускается, антивирус, программы, все. Но рабочий стол просто не реагирует на курсор. При нажатии на ярлык ничего не происходит, впечатление такое, что комп завис, двигается только курсор, все остальное мертвое.
     
  8. Espiegle

    Espiegle Junior User

    Ффух, после пятой перезагрузки рабочий стол вроде ожил, слава Богу! ))). Но что это такое было и не повторится ли опять???:confused:
    Вам спасибо огромное за оперативную помощь:):):)
     
  9. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    А в безопасном режиме пробовали загрузиться?
     
  10. Espiegle

    Espiegle Junior User

    Нет, в безопасном не пробовала. Проблема, кстати, все таки никуда не делась. Выглядит она так. Перезагружаю комп. Винда запускается, появляется рабочий стол, значки, программы запускаются, которые в автозапуске. Сперва выскакивает окно проверка сертификата подлинности виндовс, но оно и раньше выскакивало. Почти одновременно запускается НОД 32. И вот если в этот момент я успела открыть допустим окно того же Нод, а потом закрыть, то рабочий стол не умирает, значки на курсор реагирует. Если ничего не предпринимать, то рабочий стол и значки зависают. Мышью то можно двигать сколько угодно, курсор двигается, но на щелчки ни один значок не реагирует никак, как будто комп. завис.Они даже не выделяются, просто мертвые.
     
  11. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    новые логи сделайте в Безопасном режиме
     
  12. Espiegle

    Espiegle Junior User

    В безопасном режиме вообще не загружается. Появляется окно входа в систему с именем пользователя, но оно абсолютно не активно, зависает так же как рабочий стол в обычном режиме, с той лишь разницей, что тут и курсор вообще не двигается. Экран входа зависает и все.
     
  13. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    другие варианты загрузки пробуем - например безопасный режим с поддержкой командой строки
    никакое оборудование к ПК не подключено? отключите все что можно
     
  14. Espiegle

    Espiegle Junior User

    Особенно к нему ничего не подключено, кроме бесперебойника и кабеля лк.сети и инета. Мне кажется, проблема может быть как-то косвенно связана с антивирусом. Он по прежнему через инет не обновляется, хотя интернет работает. Вот сейчас мне при запуске системы удалось открыть окно Нода и рабочий стол живой, значки реагируют. Хотя может это просто совпадение. Пока не понимаю, в чем тут дело, что такое нужно запустить сразу, чтобы р.стол не сдох. Логи в МВАМ сделать или в uVS еще раз сделать образ автозапуска?
     
  15. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    в uVS сделайте образ
    также свежий лог HiJack
     
  16. Espiegle

    Espiegle Junior User

    Все тут http://zalil.ru/32945510
    Я уж не знаю, может НОД конфликтует с какой-то из программ этих сканеров?
    Или я и правда ненароком что-то лишнее удалила? Кстати, МВАМ все равно выделяет эту строку HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) как вредоносную, почему?
     
  17. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    потому что отключено автоматическое обновление системы
     
  18. Espiegle

    Espiegle Junior User

    Ясно. Мне еще не нравится, что отключено восстановление системы. У этой сотрудницы уже была похожая проблема с вирусом в оперативной памяти. Мы тогда восстановили более раннее состояние системы и вирусы пропали. Но кое-кто из сотрудников об этом узнал. Мне интересно, этот кто-то ей специально восстановление системы заблокировал или это действие вируса? Если специально, то может восстановление как-то можно снова включить?
     
  19. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Когда все нормально будет работать - тогда и включим. То уже наверное другая проблема.
    В логах все чисто.
    Наверное есть смысл проверить в безопасном режиме с помощью CureIt или с LiveCD ESET, DoctorWeb
     
  20. Espiegle

    Espiegle Junior User

    А где их можно скачать? Сейчас-то я уже дома. Комп. оставила включенным, а то боюсь, завтра мне его опять будет долго не загрузить. Честно говоря не уверена, что мне удастся его запустить в безопасном режиме. Там по-моему дело гораздо печальнее, чем в обычном обстоит:( В безопасном мне его вообще еще ни разу не удалось включить. Дальше окна входа дело пока не идет. Но я попробую завтра еще с командной строкой.
    А все-таки, включенная защита в МВАМ не может быть причиной? Там по моему в разделе, где "защита включена" по умолчанию стоят галочки "запретить запуск всех файлов" или что-то в этом роде, точно не помню. Может, надо было ее удалить после того, как сделаны логи? А то она осталась установленной, защита включена и работает одновременно с Нодом.
    Прошу прощения, что так много вопросов, у меня просто не всегда есть возможность выйти в инет, вот и тороплюсь все сразу спросить:d
     

Поделиться этой страницей