Решена Немецкий ноутбук: подозрение на RootKit и методы борьбы

Статус
В этой теме нельзя размещать новые ответы.

ScriptMakeR

Клуб переводчиков
Сообщения
1,423
Реакции
457
В принципе, все в названии.
До этого прошелся AdwCleaner и ClearLNK.
Ноут немецкий, пишу методом тыка:)
 

Вложения

  • CollectionLog-2015.03.07-12.36.zip
    88 KB · Просмотры: 9
Здравствуйте!

Код:
eBay Worldwide [20141017]-->MsiExec.exe /I{D3E5A972-9A15-427D-AE78-8181A5FD943C}
Знакомо? Если нет, то деинсталировать.
Google Toolbar for Internet Explorer [20141023]-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Google Toolbar for Internet Explorer [2015/02/28 19:52:24]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_BA9226F4C70BECC2.exe" /uninstall
Google Update Helper [20141115]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20150206]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Movies Search App for Chrome [2015/03/05 16:16:04]-->C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\GC\uninstall.exe /UN=CR /PID=LVD2-DTX /PCD=IMH
Movies Search App for Internet Explorer (Dist. by Bandoo Media, Inc.) [2015/03/05 16:15:59]-->C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\uninstall.exe /UN=IE /PID=LVD2-DTX /PCD=IMH
если не используется, тоже в топку.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp');
TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp');
TerminateProcessByName('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp');
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp');
TerminateProcessByName('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp');
TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
StopService('juqisyxe');
StopService('tuvoqyby');
StopService('sibehylo');
QuarantineFile('C:\Users\dami\AppData\Local\Pay-By-Ads\Yahoo!', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '');
QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '');
QuarantineFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '');
QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe', '');
QuarantineFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573093-e011-a5e0-b870f49fe78b\cnsl964d.tmp', '32');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573959-e011-a5e0-b870f49fe78b\insqb975.tmp', '32');
DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\jnse6b23.tmp', '32');
DeleteFile('c:\users\dami\appdata\roaming\6db0de06-1425569259-e011-a5e0-b870f49fe78b\nsg1831.tmp', '32');
DeleteFile('c:\users\dami\appdata\local\6db0de06-1425573107-e011-a5e0-b870f49fe78b\snsvcaa3.tmp', '32');
DeleteFile('C:\Windows\system32\cpuminer-gw64.exe', '32');
DeleteService('juqisyxe');
DeleteService('tuvoqyby');
DeleteService('sibehylo');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cpuminer');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
eBay Worldwide тупо не удаляется. Что-то пишет на немецком, разрешение на действия запрашивает, но продолжает в установленных висеть.
Google Toolbar for Internet Explorer, Movies Search App for Chrome, Movies Search App for Internet Explorer удалил.
Google Update Helper не нашел.
Сейчас все остальное сделаю.
Готово.
 

Вложения

  • CollectionLog-2015.03.07-13.52.zip
    83.1 KB · Просмотры: 7
  • AdwCleaner[R1].txt
    3 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('byrisiwo', 4);
StopService('byrisiwo');
QuarantineFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '');
QuarantineFileF('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
QuarantineFile('C:\Program Files (x86)\QuickRef_1.10.0.9\Service\qrsvc.exe', '');
QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys', '');
QuarantineFile('C:\Windows\system32\BDL.dll', '');
DeleteFile('C:\Windows\system32\BDL.dll', '32');
DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys', '32');
DeleteFile('C:\Users\dami\AppData\Roaming\6DB0DE06-1425569259-E011-A5E0-B870F49FE78B\nsg1831.tmp', '32');
DeleteService('byrisiwo');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Yahoo! Search');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
До послезавтра к ноуту доступа не имею, послезавтра все сделаю.
З.Ы.: А кто это так интересно в начале AVZ'шных логов светился?
 
Извиняюсь за долгое отсутствие. Сам уже про него забыл, и хозяин молчит.
Хм.. После выполнения скрипта AVZ и перезагрузки браузеры в интернет перестали ходить. В cmd пинг до google.com и safezone.cc проходит.
Вот логи без MBAM.
C:\Windows\system32\BDL.dll
Вот кого системе не хватает. Сейчас попробую найти его где-нибудь, а то MBAM не может базы обновить.
 

Вложения

  • AdwCleaner[S1].txt
    3.2 KB · Просмотры: 0
  • CollectionLog-2015.03.14-14.48.zip
    76.7 KB · Просмотры: 3
Сам про это подумал :)
Восстановил. Интернет вернулся :)
 
Так MBAM без него не обновлял базы.
 
делайте пока скрипт AVZ достачно даже только второй стандартный, напишем скрипт - дочистит остатки (хвосты в LSP) и интернет заработает, а потом продолжим остальное.
Так MBAM без него не обновлял базы.
а на этот случай тут в ресурсах есть зеркало с обновлением баз. Обновляется каждый день.
 
Да теперь уже опять до понедельника перерыв.
Кстати, это что-то новое? Всего 3 детекта на ВТ.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу