-
iexplore.exe и еще много чего
Всем привет. Я тут впервые, поэтому заранее прошу прощения за ошибки, если будут.
1) Проблема такая: комп атаковала куча малвари сразу. Еле отбился, но остался один неубиваемые процесс iexplore.exe, который запущен (как показывает Process Explorer) из папки С:/Program Files/Internet Explorer/ . Как его прикончить? у меня винда стала в 2 раза дольше грузиться и инет тормозит по-страшному, даже когда я им не пользуюсь, видно что трафик идёт...
2) Мой Каспер нашел скрытый процесс C:\WINDOWS\system32\koos.exe. Что это за перец такой?
3) Насчет той атаки...у меня куча процессов было запущено, я их прикончил, вычистил, а сами ехе-шники себе на память оставил, кто-нить возьмётся их потрошить? я ассм не знаю пока, и дизассмом пользоваться не умею, тоже пока...мне ОЧЕНЬ интересно что они делают...
4) После атаки я не могу войти в свойства Моего Компьютра, пишет что "операция отменена в следствие действующих на комп ограничений", хотя под админов сижу и никаких ограничений см не ставил.
И еще пропала Панель Управления из Пуска...как будто её и не было, стандартный файрвол Виндоса тоже пропал
5) при выполнении скрипта "лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" система вылетает в синий экран (2 раза пробовал), код STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550)
Последний раз редактировалось Titanus; 05.11.2007 в 18:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('\SystemRoot\System32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\gkvlbd.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\Program Files\BillP Studios\WinPatrol\PATROLPRO.DLL','');
QuarantineFile('C:\WINDOWS\system32\koos.exe','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.
2. Поищите через AVZ файл Tihq44.sys и если найдете - закарантиньте.
3. Пришлите карантин согласно приложению 3 Правил
-
-
Сделайте ещё один лог как написано здесь.
-
-
1. скрипт выполнить не удалось, система улетела в тот же самый STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550)
2. файл Tihq44.sys AVZ не нашел, так же как и обычный поиск
-
уберите строки
SearchRootkit(true, true);
SetAVZGuardStatus(True);
и попробуйте выполнить скрипт ....
-
-
2 Maxim
по вашей ссылке сделал лог
2V_Bond
после удаления строк скрипт выполнился без ошибок, процесс iexplore.exe пропал. Однако винда по-прежнему грузится долго, правда больше трафик не пропадает
И еще подскажите, плиз, насчет пункта 2, 3 и 4 в моём первом посту
Последний раз редактировалось Titanus; 05.11.2007 в 18:27.
-
-
-
выполните скрипт...
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tihq44', 'Start');
RebootWindows(true);
end.
после перезагрузки еще один ....
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('Tihq44.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('\??\C:\WINDOWS\system32\kprof','');
DeleteFile('\??\C:\WINDOWS\system32\kprof');
DeleteFile('\??\C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('System32\DRIVERS\Tihq44.sys');
DeleteFile('Tihq44.sys');
BC_DeleteSvc('Tihq44');
BC_DeleteSvc('kprof'');
BC_DeleteSvc('poof');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи....
-
-
пардон, вот...(там не все, а только основные подозрительные файлы, т.к. полный карантин весит более 3 мегов)
и еще, я ошибся, трафик по-прежнему утекает...
Последний раз редактировалось Titanus; 05.11.2007 в 18:27.
-
I am not young enough to know everything...
-
-
2 V_Bond
исполнение вашего первого скрипта заканчивается полётом на тот же самый STOP 0x0000007E (0xC0000005, 0x8057A6A9, 0xF7CB8854, 0xF7CB8550), если же выполнить второй, то пишет что "Ошибка ')' expected в позиции 15:14"
2 Bratez
прошу 5 минут, чтоб собрать их заново
-
C:\System Volume Information\_restore{2407B785-E19E-45AF-8AC2-FC57CDB79ECC}\RP19\A0010961.exe
C:\System Volume Information\_restore{2407B785-E19E-45AF-8AC2-FC57CDB79ECC}\RP19\A0010958.exe
Trojan-Dropper.Win32.Delf.uq
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll Troyan-Proxy.Win32.Xorpix.bt
C:\WINDOWS\system32\drivers\ip6fw.sys Trojan-Downloader.Win32.Agent.acl
C:\WINDOWS\system32\gkvlbd.dll -Backdoor.Win32.Agent.adr
C:\WINDOWS\system32\sulimo.dat not-virus;Hoax.Win32.Renos.lq
отключите Восстановление системы
ждем новые логи...
-
-
новые логи...
отключите Восстановление системы
Легко сказать , мне закрыт доступ в свойства Моего Компа, пишет что "Операция отменена вследствие действующих на компьютер ограничений. Обратитесь к администратору сети".
Последний раз редактировалось Titanus; 05.11.2007 в 18:27.
-
сделайте полную проверку cureit.exe ... затем повторите логи ...
-
-
Ошибка в позиции 3:1
с таким тормозным инетом я cureit.exe полчаса качать буду...
-
после проверки cureit.exe .сделайте так ..
Код:
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
-
-
Извиняюсь за свою ошибку, совсем заработался... V_Bond меня поправил
-
-
Предлагаю такой план.
1. Пофиксить в HijackThis:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\gkvlbd.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\gkvlbd.dll
2. Не перезагружаясь после фикса, выполнить скрипт:
Код:
begin
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Tihq44.sys');
BC_DeleteFile('C:\WINDOWS\system32\gkvlbd.dll');
BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_DeleteFile('C:\WINDOWS\system32\_svchost.exe');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('Tihq44');
BC_Activate;
RebootWindows(true);
end.
3. После перезагрузки выполнить еще один:
Код:
begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(17);
RebootWindows(true);
end.
А потом уж можно и логи делать.
I am not young enough to know everything...
-
-
проверял cureit.exe, система улетала туде же...ОДНАКО, после операций, предложеных Bratez, cureit запустился, щас ищет всякую гадость по полной программе. Инет стал нормальным...пока что...Винда грузится норм, Свойства Моего Компа и Панель управления появилась, , но пока не удается отобразить параметры Брандмауэра Windows в следствии неопределённой ошибки...
Пока найдено 35 инфицированых файлов, все удалены, пока что 9% проверено...проверит всё - отпишусь о результатах.
-
После окончания проверки повторите логи.
-