Сейчас обсуждают

[AndreyDyomin]

Здравствуйте!
Помогите, пожалуйста, тоже подхватил эту дрянь... Популярная она нынче, что-то

[Feo]

Базы старые.
Скачайте http://file.sibnet.ru/get/file/?id=877683 и распакуйте содержимое в папку AVZ в подпапку Base, согласившись на замену. И повторите логи AVZ заново

[AndreyDyomin]

Обновил. Выполнил скрипт №2.

[Feo]

Пофиксите в HiJack строки (Сканирование, как делали лог, а затем ставите галки напротив строки и жмете Fix Checked)

Код

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\94b3d15f.exe,C:\WINDOWS\system32\goduvh.exe,
O2 - BHO: Доступ к платному контенту FieryAds v2.1.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\ANDREY~1.PEN\APPLIC~1\FieryAds\FieryAds.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: XBTBPos00 Class - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll
O3 - Toolbar: Pivim Multibar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Pivim Multibar\pivim.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - Startup: monoca32.exe
O9 - Extra button: (no name) - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)

В БЕЗОПАСНОМ режиме AVZ - Файл - Скопировать скрипт (внимательно!), вставить и нажать Выполнить:

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{39AA6D29-4236-4F25-A36A-3410EF5283D9}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\WINDOWS\system32\94b3d15f.exe','');
QuarantineFile('C:\WINDOWS\system32\goduvh.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Andrey.PENTIUM\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\DOCUME~1\ANDREY~1.PEN\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\Andrey.PENTIUM\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\94b3d15f.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\WINDOWS\system32\goduvh.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFileMask('C:\DOCUME~1\ANDREY~1.PEN\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\ANDREY~1.PEN\APPLIC~1\FieryAds');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
executerepair(20);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ появится архив quarantine.zip, отошлите его на virusforfeo@yandex.ru или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО!

Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack.

[AndreyDyomin]

Сделал. Сам файл из автозагрузки пропал, но вот процесс winlogon вешать систему на 50% не перестал...

Сообщение отредактировал AndreyDyomin - 5.8.2010, 23:20

[Feo]

В БЕЗОПАСНОМ режиме AVZ - Файл - Скопировать скрипт (внимательно!), вставить и нажать Выполнить:

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFile(GetAVZDirectory+'quarantine.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\goduvh.exe','');
QuarantineFile('C:\WINDOWS\system32\94b3d15f.exe','');
DeleteFile('C:\WINDOWS\system32\94b3d15f.exe');
DeleteFile('C:\WINDOWS\system32\goduvh.exe');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните

Код

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ появится архив quarantine.zip, отошлите его на virusforfeo@yandex.ru или загрузите на файлообменник (ссылку в лс) - ОБЯЗАТЕЛЬНО!

Повторите логи AVZ (Скрипт №2, "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2) и Hijack.

[AndreyDyomin]

Сделал. "Вешаться" не перестало...

[Feo]

Сделал. "Вешаться" не перестало...

Выполните скрипт:

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('EagleNT');
DeleteFile('C:\DOCUME~1\ANDREY~1.PEN\LOCALS~1\Temp\EagleNT.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скачайте http://www.malwarebytes.org/mbam-download.php , установите. Запустите полное сканирование , когда закончится, лог будет сохранен в Logs. Приложите его к сообщению.

P.S По окончанию проверки, ничего не удаляйте!

[AndreyDyomin]

Сделал.

[AndreyDyomin]

Вообще, как я понимаю, сам червяк уже удален. По крайней мере сразу на компе доступ ко многим сайтам антивирусов блокировался, касперский через каждые несколько минут отлавливал фишинговые ссылки, включение/перезагрузка компа всегда БСОД сопровождалась. Сейчас все в порядке. Осталась проблема только с процессом winlogon...

[AndreyDyomin]

Все. Проблему решил.
Большое спасибо за помощь!

[Feo]

В HiJack пофиксите:

Код

R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Andrey.PENTIUM\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Andrey.PENTIUM\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

В AVZ выполните скрипт:

Код

begin
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFile(GetAVZDirectory+'quarantine.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
  DeleteFile('C:\Documents and Settings\Andrey.PENTIUM\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В Malwarebytes Antimalware удалите следующие выделенные элементы (чтобы удалить, запустите, выполните полную проверку. По окончанию нажать ок -> Показать результаты - Удалить выделенное)

Код

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Andrey.PENTIUM\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\FieryAds.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.

Замените файл sfcfiles.dll по пути C:\WINDOWS\system32, файлом из архива в аттаче



 sfcfiles.zip ( 182.71 килобайт ) Кол-во скачиваний: 56

Все. Проблему решил.

И как решили?

P.S А инструкции в этом посте лучше сделать, дабы добить полностью.

[AndreyDyomin]

Вот последние логи. Делать что-нибудь?

[Feo]

Вот последние логи. Делать что-нибудь?

Все ок.

Как проблему-то с winlogon решили и его загрузкой? Или само собой перестало?

[AndreyDyomin]

Все ок.

Как проблему-то с winlogon решили и его загрузкой? Или само собой перестало?

Выполнил в AVZ вот такой скриптик:

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
DeleteFile('%windir%\system32\drivers\sfc.sys');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

И в MBAM почистил:

Код

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Andrey.PENTIUM\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\FieryAds.dat (Adware.FieryAds) -> No action taken.

[Feo]

Ну или так MBAM практически сделал бы тоже самое, только в скрипте восстановление sfcfiles.dll идет из кэша системных файлов, а мы вручную. Рад, что все теперь хорошо