[решено] лучший апрельский вирус klpclst.dat, wndsksi.inf

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

лучший апрельский вирус klpclst.dat, wndsksi.inf

в запарке случайно ткнул принять сертификат www.facebook.com с левого сайта (браузер Опера последняя), соответственно быстро выполнился ява скрип и троян распокавал свои чемоданы.
Vk.com сразу попросил отправить ответное смс на номер 6681 (стоимость для МТС 300р) для входа на сайт.
facebook.com просто не прогружает страницу целиком
Комп не перезагружался, просто отключил сетевые подключения.
соответственно в автозапуске сидит 5kiFfy1L980.exe
на С:\C67f1mJ68BwGmaA\klpclst.dat и wndsksi.inf

выполнил стандартный скрипт №2 и 3, логи в архиве.
соответственно два вопроса
1. как заморить червячка
2. какие пароли он вытаскивает (Опера, тандерберд, кип и скайп) введенные при авторизации, сохраненные или все варианты?

dog of war, Добрый день, сейчас гляну логи.

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\Paul\Главное меню\Программы\Автозагрузка\5kiFfy1L980.exe','');

 QuarantineFile('C:\WINDOWS\system32\XpsRchVw.exe','');

 QuarantineFile('C:\Temp\{15D75FE8-488E-4636-A87E-86F08E0FEA83}\fsgk.sys','');

 QuarantineFile('C:\Temp\esiasdrv.sys','');

 QuarantineFile('C:\Temp\JHEJU.exe','');

 QuarantineFile('С:\C67f1mJ68BwGmaA\klpclst.dat','');

 QuarantineFile('С:\C67f1mJ68BwGmaA\wndsksi.inf','');

 QuarantineFileF(' С:\C67f1mJ68BwGmaA', '*.*', false, '', 0, 0);

 DeleteFile('C:\plg.txt');

 DeleteFile('С:\C67f1mJ68BwGmaA\klpclst.dat');

 DeleteFile('С:\C67f1mJ68BwGmaA\wndsksi.inf');

 DeleteFile('C:\Documents and Settings\Paul\Главное меню\Программы\Автозагрузка\5kiFfy1L980.exe');

 DeleteFileMask(' С:\C67f1mJ68BwGmaA', '*.*', true);

 DeleteDirectory(' С:\C67f1mJ68BwGmaA');

 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');

AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+'   RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(9);

RebootWindows(true);

end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2. Пофиксите в HJT:

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

4.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

5.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

Код:

tdsskiller.exe -silent -qmbr -qboot
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

TeamViewer используете?

Смените все пароли!!!
Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

файл C:\WINDOWS\system32\notepad.exe проверьте на https://www.virustotal.com/
Для этого пройдите по ссылке, выберите scan a file, нажмите в окно для ввода файла, вставьте и нажмите Scan it!, ссылку на результат запостите здесь.

никак не могу прикрепить файлы с логами к сообщению
залил на яндекс логи MBAM и TDSS
так и не смог понять куда сохраняет лог SecurityCheck
TeamViewer часто пользую по работе.
notepad.exe уже кто-то из антивирусов удалил не могу теперь проверить его.
вирусовое файло по прежнему висит на С:

Цитата:

Цитата Warrior Kratos

Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT. »

Этого не вижу.
Удалить в MBAM только эти строки:

Код:

Обнаруженные ключи в реестре:  2

HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.

HKCR\Compiler.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.



Обнаруженные параметры в реестре:  1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.



Объекты реестра обнаружены:  10

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1503C367-81CC-4A29-B947-6863A840DBD6}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4615BA05-F594-4923-B564-CF85151E32B8}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{51449271-4F93-4AF0-9F1A-DE60E62705E7}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B9E0DFEF-0D93-4A1C-ADF0-B9B839A199C8}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{BC87CD16-311A-42EC-B57D-CFA9440A594A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C1E13787-08CA-401F-ACD0-AA4CE934A42B}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{DC6998CD-FCFA-49AA-B948-9BBB8649368E}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F7A98320-9F6D-457B-A6B2-0199AA0999AD}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

C:\Program Files\Total Commander\Soft\AVZ\Quarantine\2012-04-20\avz00001.dta (Trojan.Agent.CibGen) -> Действие не было предпринято.

C:\Program Files\Total Commander\Soft\AVZ\Quarantine\2012-04-20\bcqr00001.dat (Trojan.Agent.CibGen) -> Действие не было предпринято.

C:\Program Files\Total Commander\Soft\AVZ\Quarantine\2012-04-20\bcqr00002.dat (Trojan.Agent.CibGen) -> Действие не было предпринято.

C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Цитата:

Цитата dog of war

так и не смог понять куда сохраняет лог SecurityCheck »

по окончании работы утилиты, должно было вылезти окошко с нужной информацией.

вот новые логи от AVZ и RSIT

SecurityCheck сразу закрывает окно
скрипт для AVZ выполнил первым делом

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('C:\Documents and Settings\Paul\Application Data\C67f1mJ68BwGmaA', '*.*', false, '', 0, 0);

 QuarantineFileF('C:\C67f1mJ68BwGmaA', '*.*', false, '', 0, 0);

 DeleteFileMask('C:\Documents and Settings\Paul\Application Data\C67f1mJ68BwGmaA', '*.*', true);

 DeleteFileMask('C:\C67f1mJ68BwGmaA', '*.*', true);

 DeleteDirectory('C:\Documents and Settings\Paul\Application Data\C67f1mJ68BwGmaA');

 DeleteDirectory('C:\C67f1mJ68BwGmaA');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

И ещё, это сами прописали в файле Hosts?

Код:

69.64.71.218 handybackup.com www.handybackup.com www.softlogica.com softlogica.com

выполнил скрипт
из хоста удалил

fsgk.sys от F-Secure Gatekeeper
esiasdrv.sys это ESET SysInspector
XpsRchVw.exe - XPS-Viewer

Проверьте файлы sidwvcf.sys и C:\Temp\JHEJU.exe на Virus Total

Для этого пройдите по ссылке, выберите scan a file, нажмите в окно для ввода файла, вставьте и нажмите Scan it!, ссылку на результат запостите здесь.

- Cкачайте и установите все последние обновления для безопасности Windows
- Рекомендации после лечения

Деинсталируйте МВАМ
Пуск - Панель управления - Установка/удаление программ - найдите Malwarebytes Anti-Malware и нажмите удалить.

Цитата:

Цитата dog of war

. какие пароли он вытаскивает (Опера, тандерберд, кип и скайп) введенные при авторизации, сохраненные или все варианты? »

все варианты