koos.exe и процес poof
Переодически самопроизвольно пегружется комп, avz определил в процессах наличие koos.exe и poof, которые являются вирусами. в system32 этих файлов обнаружить не удалось.
В корзине постояннно появляется файл DC(цифры).exe (пр. DC246, DC247...)нулевого размера и куча Dc(цифры).tmp различного размера.
Также создаются папки с таким же именем и содержат одни и те же файлы:
Ky5s96SF.csa
~de1a55.tmp
~df394b.tmp
~efe2.tmp
Вот не знаю что делать.
Последний раз редактировалось tj3d; 23.10.2007 в 09:14. Причина: забыл файлы вложить.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\_svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\6to4svcx.exe',''); QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\Nseorhs.dll',''); QuarantineFile('C:\1.bat',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vmek37.sys',''); QuarantineFile('C:\WINDOWS\system32\koos.exe',''); DeleteFile('C:\WINDOWS\system32\koos.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Vmek37.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\ipv6monl.dll'); BC_ImportALL; BC_DeleteSvc('poof'); BC_DeleteSvc('Microsoft Internet Explorer'); BC_DeleteSvc('NtmsSvcTapiSrv'); BC_DeleteFile('C:\WINDOWS\system32\poof'); ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
I am not young enough to know everything...
Пофиксил строки в HijackThis. Перегрузил комп, скачал новый AVZ, обновил его, запустил приведенный выше скрипт для avz, перегрузился.
Когда пытался выполнить стандартный скрипт avz (лечение/карантин) то машина перегружается (5 раз пробовал). Скрипт сбора информации выполнился с первого раза.
И когда запустил avz на проверку, то проблемма с koos и poof осталась.
p.s. Карантин пуст
выполните скрипт...
после перезагрузки еще один....Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Vmek37','Start'); RebootWindows(true); end.
пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\6to4svcx.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\Nseorhs.dll',''); QuarantineFile('C:\1.bat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Vmek37.sys',''); QuarantineFile('C:\WINDOWS\system32\koos.exe',''); QuarantineFile('Nseorhs.dll','') DeleteFile('C:\WINDOWS\system32\_svchost.exe',''); DeleteFile('C:\WINDOWS\system32\koos.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Vmek37.sys'); DeleteFile('C:\WINDOWS\system32\poof'); BC_ImportALL; BC_DeleteSvc('poof'); BC_DeleteSvc('Microsoft Internet Explorer'); BC_DeleteSvc('Vmek37'); ExecuteSysClean; ClearHostsFile; BC_Activate; RebootWindows(true); end.
сделайте лог http://virusinfo.info/showthread.php?t=10387
Второй скрипт выполнял в безопасном режиме, в обычном машина пергружалась сразу после запуска.
файл avz_sysinfo_mode.zip сделав в безопасном режиме как написано http://virusinfo.info/showthread.php?t=10387
в папке avz есть еще папка Infected с dat и ini файлами, их нужно прикрепить?
p.s. карантин загрузил
Последний раз редактировалось tj3d; 23.10.2007 в 12:01.
Nseorhs.dll - Trojan-PSW.Win32.LdPinch.dvz
Vmek37.sys - Rootkit.Win32.Agent.kb (уже удален)
koos.exe - Trojan-Proxy.Win32.Wopla.ag (тоже удален)
Добавлено через 8 минут
Отключите восстановление системы!
Выполните скрипт в AVZ:
После перезагрузки пофиксите в HijackThis (если останется):Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\system32\Nseorhs.dll'); BC_ImportDeletedList; BC_DeleteSvc('NtmsSvcTapiSrv'); BC_DeleteSvc('kprof'); BC_DeleteFile('C:\WINDOWS\system32\kprof'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Посмотрите, что из этого нужно / не нужно:Код:O20 - Winlogon Notify: Nseorhs - C:\WINDOWS\SYSTEM32\Nseorhs.dll
Код:>> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
Последний раз редактировалось Bratez; 23.10.2007 в 12:15. Причина: Добавлено
I am not young enough to know everything...
Всем спасибо за помощь, все получилось.
1. Сделайте еще раз комплект логов для контроля.
2. Поскольку был пинч, надо поменять все пароли, вероятно они уже известны не только вам.
I am not young enough to know everything...
Логи для конроля проверьте пожалуйста.
Кстати может кто подскажет, у меня почему то перестали отображаться виртуальные хосты которые в Апаче прописаны. Из-за подцепленной заразы может это быть?
Последний раз редактировалось tj3d; 24.10.2007 в 16:06.
А-а! Так вот кто написал CrazyMouse!!C:\Program Files\Borland\Delphi7\Projects\tj\kub\Project1.exe >>> подозрение на not-virus:BadJoke.Win32.CrazyMouse.a
Логи чистые.
Насчет Апача - честно, не знаю.
I am not young enough to know everything...
Блин спалился
Спасибо за помощь и участие.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\vmek37.sys - Trojan.Win32.Srizbi.gt (DrWEB: Trojan.NtRootKit.414)
- c:\\windows\\system32\\koos.exe - Trojan-Proxy.Win32.Wopla.ag (DrWEB: Trojan.Sklog)
- c:\\windows\\system32\\nseorhs.dll - Trojan-PSW.Win32.LdPinch.dvz (DrWEB: Trojan.Inject.39
- \\quarantine\\2007-10-23\\bcqr00003.dta - Trojan-PSW.Win32.LdPinch.dvz (DrWEB: Trojan.Inject.39
- \\quarantine\\2007-10-23\\bcqr00004.dta - Trojan-PSW.Win32.LdPinch.dvz (DrWEB: Trojan.Inject.39
Уважаемый(ая) tj3d, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
