Junior Member
Вес репутации
63
Пожалуйста помогите
Засел какой-то вирусняк, постоянно отправляет и получает что-то из инетернета... невооруженным глазом его не видно в процессах, похоже что паразитирует какой-то системный процесс(explore.exe или svchost.exe)... антивирус - Авира находит файлы во временной директории винды win\temp\ (1.tmp , 2.tmp и т.д) и ругается на win\system32\drivers\smtpdrv.sys Сейчас сижу и считаю сожраный трафик :'( помогите пожалуйста... скрипт сбора и лечения приложил
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
63
вложенные файлы
Вложения
Последний раз редактировалось Shu_b; 18.01.2008 в 12:08 .
Добавлено через 9 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('kdbzh.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Iot62.sys','');
QuarantineFile('C:\WINDOWS\Djo84.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
И повторите логи в этот раз по правилам
http://virusinfo.info/showthread.php?t=1235
Последний раз редактировалось akoK; 18.01.2008 в 12:34 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
63
новые логи по правилам
Вложения
HJT не хватает!
Добавлено через 1 минуту
А карантин где??
Последний раз редактировалось akoK; 18.01.2008 в 14:32 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
63
сорри вот файлы
Вложения
Последний раз редактировалось Макcим; 18.01.2008 в 15:03 .
ммм сейчас модератор прийдет штраф выпишет...
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16595
Из сообщения надо удалить
Добавлено через 6 минут
C:\WINDOWS\system32\kdbzh.exe - Trojan.Win32.DNSChanger.aum
Добавлено через 14 минут
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('smtpdrv', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\vde0ntuz.sys','');
StopService('Iot62');
StopService('Djo84');
StopService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djo84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iot62.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\kdbzh.exe ');
DeleteService('smtpdrv');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16595
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
Последний раз редактировалось akoK; 18.01.2008 в 15:25 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
63
C:\WINDOWS\System32\Drivers\Djo84.sys-Trojan-Downloader.Win32.Agent.hl
C:\WINDOWS\System32\Drivers\Iot62.sys-Trojan-Downloader.Win32.Agent.hl
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys - Email-Worm.Win32.Agent.l
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Djo84', 4);
SetServiceStart('Iot62', 4);
StopService('Iot62');
StopService('Djo84');
DeleteService('Djo84');
DeleteService('Iot62');
DeleteFile('C:\WINDOWS\System32\Drivers\Djo84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Iot62.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи...
Microsoft Most Valuable Professional in Consumer Security
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 15 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\djo84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.112) c:\\windows\\system32\\drivers\\iot62.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.134) c:\\windows\\system32\\drivers\\smtpdrv.sys - Email-Worm.Win32.Agent.l (DrWEB: Trojan.NtRootKit.360) c:\\windows\\system32\\kdbzh.exe - Trojan.Win32.DNSChanger.aum (DrWEB: a modification of Trojan.Packed.156) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.abb (DrWEB: Trojan.Proxy.2634)