FATruden, Флудить закончил..

Pili:

1. Вчера выполнил скрипт ComboFix с файлом CFScript (см. отчет ComboFix.zip)
2. Установил обновления, после обновления выполнил проверку gmer, DDS и RSIT (см. отчет gmer.zip, Attach.zip и DDS.zip, RSIT.zip).
3. Отправил карантин на newvirus@...., ответ:,
Тема: RE: [KLAN-19704513]
Hello.
No malicious software was found in the attached file.
--------------------
Regards, Aseev Evgeny
Virus Analyst

4. Проверил все файлы вручную на сайте virustotal.com: ullfoek.dll распознался 26 из 38, но я не могу его удалить через IceSword - после перезагрузки он снова появляется, 4 файла - 1 подозрение на вирус, см. далее.
('c:\windows\system32\ullfoek.dll',''); – (26/38!)
http://www.virustotal.com/ru/analisis/ea3e862232e803e83d83d06067560454

('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys',''); (1 подозрение)
http://www.virustotal.com/ru/analisis/2de66821f9a8410116d74b8efc606c69

('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys',''); (1 подозрение)
http://www.virustotal.com/ru/analisis/32b7a4e884aa7de6d2748f047a9d9eb6

('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys',''); (1 подозрение)
http://www.virustotal.com/ru/analisis/32ea8b52ce5554f501587640ba2a1c0d

('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys',''); (1 подозрение)
http://www.virustotal.com/ru/analisis/c141f713839537a33c138be0607a1d52

('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
http://www.virustotal.com/ru/analisis/8801e88baf03717412fff623d086bcb0

('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
http://www.virustotal.com/ru/analisis/0a0861600831d55ff23ba2beace826ce

('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
http://www.virustotal.com/ru/analisis/2798195bb4ad8097eaf06e6e2e110b14

('C:\WINDOWS\system32\drivers\tbhsd.sys','');
http://www.virustotal.com/ru/analisis/7c970b8ab55310a36021008857f3d1f1

('c:\windows\system32\dllcache\cdaudio.sys','');
http://www.virustotal.com/ru/analisis/6d1973d6439a2a98a35ca48fd2e63e57

('C:\WINDOWS\system32\snmvtsvc.exe','');
http://www.virustotal.com/ru/analisis/decdd01357f86e59f3194750e80602ae

C:\WINDOWS\system32\drivers\VirtualAudio.sys
http://www.virustotal.com/ru/analisis/5614fb88ea0768b51484ad7a20301c0e

C:\WINDOWS\System32\ttri.dat
http://www.virustotal.com/ru/analisis/95bae1199f9a33ecdbd14f12c1e0946d

C:\WINDOWS\ultra.INI
http://www.virustotal.com/ru/analisis/aca7295f46dbfbd63f76af8705c3a82f

C:\WINDOWS\Run32A50.mch
http://www.virustotal.com/ru/analisis/a8faf3df8a67fd8e3d638123dc1182b8

svchost
http://www.virustotal.com/ru/analisis/2ee9ae5453d2a37139e3eb593d633f12

('c:\windows\system32\vamsoft.exel',''); – отсутствует
C:\WINDOWS\System32\Drivers\atdrfzib.SYS – отсутствует
('C:\WINDOWS\system32\drivers\cdaudio.sys',''); – отсутствует
('C:\WINDOWS\system32\drivers\Start2Driver.sys',''); – отсутствует
('C:\WINDOWS\system32\drivers\Start1Driver.sys',''); – отсутствует

4. За эти два дня 2 раза было сообщение об ошибке svchost и снова не открывались антивирусные сайты, через gmer блокировал bpbtvlptg и mxfrc - и все снова работало.
5. Сделал новый лог AVZ.

Кстати,
DNS сервера 193.24.25.1,193.24.25.250 - ваши? »
да, мои...

рекомендую отключить Netbios »
Я отключил "Модуль поддержки NetBIOS через TCP/IP". Это он?

Только что понял, что неправильно выложил логи RSIT. Исправляю ошибку.

Через gmer файл ullfoek.dll удалось удалить! По крайней мере, после перезагрузки он уже не появился.

Я отключил "Модуль поддержки NetBIOS через TCP/IP". Это он? »
Ещё лучше включить встроенный бранмауэр windows и дополнительно воспользоваться утилитой wwdc (http://www.firewallleaktester.com/wwdc.htm), см. также здесь (http://saule.sporaw.ru/library/wwdc.html)
ответ:,
Тема: RE: [KLAN-19704513]
Hello.
No malicious software was found in the attached file. »
в карантин попали файлы?
C:\WINDOWS\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\ullfoek.dll
C:\WINDOWS\system32\drivers\VirtualAudio.sys
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::
c:\windows\system32\ullfoek.dll
Driver::
bpbtvlptg
mxfrc

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a594b15a-dfe8-11dd-8589-00138fa470df}]


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

http://virusnet.info/images/CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
сделайте новый лог gmer

При помощи wwdc закрыл порты
в карантин попали файлы? »
из указанных трех файлов в карантине AVZ был только C:\WINDOWS\system32\drivers\VirtualAudio.sys

ComboFix предложил обновиться, я согласился. Лог вложил. Лог gmer вложил.

Кстати, пробовал позавчера AVZ (уже после удаления всех антивирусов и иже с ними) - все то же сообщение об ошибке: Invalid data type for ". То же при выполнении скрипта в безопасном режиме.

из указанных трех файлов в карантине AVZ был только C:\WINDOWS\system32\drivers\VirtualAudio.sys »
Вы это
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
Цитата:
C:\WINDOWS\System32\Drivers\atdrfzib.SYS
C:\WINDOWS\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\ullfoek.dll
C:\WINDOWS\system32\drivers\Start2Driver.sys
C:\WINDOWS\system32\drivers\Start1Driver.sys
C:\WINDOWS\system32\drivers\VirtualAudio.sys
C:\WINDOWS\System32\ttri.dat
C:\WINDOWS\ultra.INI
C:\WINDOWS\Run32A50.mch
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com »
пробовали делать?
Сейчас интересует рез-т проверки
C:\WINDOWS\system32\drivers\cdaudio.sys
Попробуйте временно отключить AVPsys через gmer - Sevices, нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите AVPsys - disable и перезагрузитесь
Кстати, пробовал позавчера AVZ (уже после удаления всех антивирусов и иже с ними) - все то же сообщение об ошибке: Invalid data type for ". То же при выполнении скрипта в безопасном режиме. »
У вас есть SafeNet Sentinel Protection Server, возможно он влияет
Проблемы ещё имеются?

Вы это
Цитата Pili:
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com »
пробовали делать?
Сейчас интересует рез-т проверки C:\WINDOWS\system32\drivers\cdaudio.sys
[/post]
Так результаты из поста № 22 как раз так и были получены, все файлы вручную копировал и проверял на virustotal. А вот этого C:\WINDOWS\system32\drivers\cdaudio.sys не было просто.

В принципе, проблем пока нет... Если не считать тех двух ошибок svchost за прошлые два дня из-за bpbtvlptg и mxfrc

Так результаты из поста № 22 как раз так и были получены, все файлы вручную копировал и проверял на virustotal. А вот этого C:\WINDOWS\system32\drivers\cdaudio.sys не было просто. »
И ничего не сказали, что файла нет, я вставил бы в скрипт по удалению сервиса.
Можете удалить AVPsys
пуск-выполнить- cmd.exe - sc delete AVPsys
В принципе, проблем пока нет... Если не считать тех двух ошибок svchost за прошлые два дня из-за bpbtvlptg и mxfrc »
bpbtvlptg и mxfrc уже удалены, были от червя kido

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTViewIt инажмите CleanUp!
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Советую отключить неиспользуемые службы (http://www.oszone.net/2517/), отключить автозапуск (http://forum.oszone.net/showpost.php?p=825101) со съемных носителей и настроить безопасность. Если что-то из списка не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно ставьте обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы.
По службам можно почитать здесь (http://www.oszone.net/2517/), дополнительно по безопасности Windows XP можно почитать здесь (http://www.oszone.net/47/)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info)

Pili, огромное спасибо! Вы просто спасли мой компьютер!

P.S. Может быть, стоит как-то переименовать тему, чтобы название было более информативным? А то я как-то уж слишком абстрактно ее назвал...

kamapaka, у вас был Net-Worm.Win32.Kido, тему переименовал.
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил (http://forum.oszone.net/thread-98169.html)