"Обновил Java", сильное подозрение на малвар.

Imaginarys · 09.03.2011, 22:51

Ситуация следующая:
После десятидневной работы без сети, включил машину и подключил сеть. Обновил flash player, затем запустил броузер и в трее высветился значок явы, ну она говорит обновляйся. Я и нажал, а потом глядь что значек какого то оранжевого цвета вместо красного. быстро попытался отменить, но загрузка уже началась.

Не бутая машину, скачал, установил драйвер, обновил АВЗ. Бутанулся. Вот лог: http://webfile.ru/5180407

Hijack лог не могу сделать, не пускает на узел.

Посмотрите пожалуйста ситуацию и порекомендуйте дальнейшие мои действия... Благодарен.

Iljeben · 09.03.2011, 23:17

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\IMAGIN~1\LOCALS~1\Temp\Rar$EX01.640\P2kAutostart.exe','');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\DOCUME~1\IMAGIN~1\LOCALS~1\Temp\Rar$EX01.640\P2kAutostart.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','P2kAutostart');
BC_ImportALL;
BC_ServiceKill('htvqqqcm');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Imaginarys · 09.03.2011, 23:36

Выполнил, вот лог http://webfile.ru/5180546

Гризлик · 10.03.2011, 01:44

Imaginarys, Чисто...

Iljeben · 10.03.2011, 06:51

Обновите систему до SP3.

Imaginarys · 12.03.2011, 18:57

Вчера при работе выбило подключение к интернет и звук(подозреваю, что драйвер). Думаю ну ладно, надо обновиться. Сегодня взял рабочую флешку и пошел на работу, на работе подключил флешку, аваст сказал что вирус autorun.inf ну я нажал - удалить. На работе пропал интернет, перезагрузки не помогают. Думаю что с флешки исполнился. Пришел домой, думаю дай скачаю Cureit И прогоню рабочую машину. Со своей машины не могу зайти на сайт Вебера.

С подключенной флешкой сделал скрипт в АВЗ. Вот лог: http://webfile.ru/5187155
З.Ы. Откуда словред берется не пойму( Помогите устранить причину его распространения.

Iljeben
Хорошо, обновы поставить после лечения??

Imaginarys · 13.03.2011, 17:00

На этом все не закончилось. Начало выбивать Эксплорер, потом пропал интернет вовсе. Перезагрузки не помогают. Подключение есть, но пинги на узлы не проходят. Сделал новый лог AVZ:

http://webfile.ru/5188846

Благодарен за помощь

Imaginarys · 16.03.2011, 23:24

Сделал у друга себе dr web live cd и им прогнал систему он нашел 2 малваре один был в систем 32 имел имя нечто khgsdfgbkgdf.dll . Их я удалил. Видимой патологии не наблюдается. Что мне нужно еще сделать, прежде чем я приступлю к обновлениям???

Вот скрипт:
http://webfile.ru/5197806

Iljeben · 17.03.2011, 06:55

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
SaveLog(GetAVZDirectory + 'BC_ServiceKill1.log');
BC_LogFile(GetAVZDirectory + 'BC_ServiceKill2.log');
end;

begin 
BC_ServiceKill('pymthivgp');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ClearHostsFile;
RebootWindows(false);
end.

После выполнения скрипта комп перезагрузиться.

Imaginarys, у Вас Kido, проверьтесь KIdokiller -ом, ну и ставим заплатки против Kido.

Imaginarys · 17.03.2011, 21:10

Выполнил скрипт. Почитал about Kido. Поставил необходимые заплатки против оного. Просканил Kido-killerom: на обеих флешках нашел по зловреду(autorun.inf), больше ничего.

Сделал скрипт сбора информации: http://webfile.ru/5200142

Визуально проблем не наблюдаю. Что скажете вы?

Imaginarys · 21.03.2011, 21:51

Подскажите пожалуйста все ли чисто и могу ли я приступать к обновлению системы?

Гризлик · 21.03.2011, 22:35

Imaginarys, В логе ничего подозрительного не вижу.

09.03.2011, 22:51	#1 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	"Обновил Java", сильное подозрение на малвар. Ситуация следующая: После десятидневной работы без сети, включил машину и подключил сеть. Обновил flash player, затем запустил броузер и в трее высветился значок явы, ну она говорит обновляйся. Я и нажал, а потом глядь что значек какого то оранжевого цвета вместо красного. быстро попытался отменить, но загрузка уже началась. Не бутая машину, скачал, установил драйвер, обновил АВЗ. Бутанулся. Вот лог: http://webfile.ru/5180407 Hijack лог не могу сделать, не пускает на узел. Посмотрите пожалуйста ситуацию и порекомендуйте дальнейшие мои действия... Благодарен.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
"Нихром" - "веселый" клон Google Chrome от Рамблера	Fiiniishh	Компьютерные новости	11	11.04.2011 15:45
Из папки "Избранное" пропала папка "Загрузки"	Fedyok	Windows 7	7	05.03.2011 20:18
"SoS" или "нуждаюсь в помощи чтобы не оказаться ослом" ))))	DiegoRnD	Неисправности, настройка	3	14.11.2010 02:12
Установка словаря "Slovoed" Java в телефон Samsung C5212	adgeuk	Мобильные устройства	1	02.10.2010 16:03
Не отображается подменю "Мои документы" в меню "Пуск"	dimanych	Windows XP	1	16.06.2010 22:06
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме.	Мириам	Windows XP	0	24.03.2010 13:11
Инструкция по адресу "0x436b10f" обратилась к памяти "0x03793dac". Вирус?	skazka	Windows XP	12	23.03.2010 04:11
Обновил драйвера для видеокарты - теперь шрифты "размыты"	Sylvanus	Драйвера	17	27.01.2010 10:27
Не работает оция """Эскизы Страниц"""	Stasok94	Неисправности, настройка	2	06.11.2009 18:40
какая программа открывает файлы с расширением "z0" "z01"	karangor	Утилиты	1	27.10.2009 00:47
При запуске системы выводится окно-"Не удалось запустить "Соседние пользователи""	Ирина К	Windows Vista	2	02.10.2009 15:40

09.03.2011, 23:36	#3 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	Выполнил, вот лог http://webfile.ru/5180546

10.03.2011, 01:44	#4 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Imaginarys, Чисто...

10.03.2011, 06:51	#5 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Обновите систему до SP3.

12.03.2011, 18:57	#6 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	Вчера при работе выбило подключение к интернет и звук(подозреваю, что драйвер). Думаю ну ладно, надо обновиться. Сегодня взял рабочую флешку и пошел на работу, на работе подключил флешку, аваст сказал что вирус autorun.inf ну я нажал - удалить. На работе пропал интернет, перезагрузки не помогают. Думаю что с флешки исполнился. Пришел домой, думаю дай скачаю Cureit И прогоню рабочую машину. Со своей машины не могу зайти на сайт Вебера. С подключенной флешкой сделал скрипт в АВЗ. Вот лог: http://webfile.ru/5187155 З.Ы. Откуда словред берется не пойму( Помогите устранить причину его распространения. Iljeben Хорошо, обновы поставить после лечения??

13.03.2011, 17:00	#7 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	На этом все не закончилось. Начало выбивать Эксплорер, потом пропал интернет вовсе. Перезагрузки не помогают. Подключение есть, но пинги на узлы не проходят. Сделал новый лог AVZ: http://webfile.ru/5188846 Благодарен за помощь

16.03.2011, 23:24	#8 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	Сделал у друга себе dr web live cd и им прогнал систему он нашел 2 малваре один был в систем 32 имел имя нечто khgsdfgbkgdf.dll . Их я удалил. Видимой патологии не наблюдается. Что мне нужно еще сделать, прежде чем я приступлю к обновлениям??? Вот скрипт: http://webfile.ru/5197806

17.03.2011, 21:10	#10 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	Выполнил скрипт. Почитал about Kido. Поставил необходимые заплатки против оного. Просканил Kido-killerom: на обеих флешках нашел по зловреду(autorun.inf), больше ничего. Сделал скрипт сбора информации: http://webfile.ru/5200142 Визуально проблем не наблюдаю. Что скажете вы?

21.03.2011, 21:51	#11 (ссылка)
Imaginarys Новичок Регистрация: 10.10.2009 Сообщений: 347 Репутация: 3	Подскажите пожалуйста все ли чисто и могу ли я приступать к обновлению системы?

21.03.2011, 22:35	#12 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	Imaginarys, В логе ничего подозрительного не вижу.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads