Показано с 1 по 11 из 11.

Функция NtEnumerateKey (47) - модификация машинного кода (заявка № 18064)

  1. #1
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    5
    Вес репутации
    59

    Thumbs up Функция NtEnumerateKey (47) - модификация машинного кода

    Доброго времени суток, наловили мои сметчики вирей, после очистки AVZ остались хвостики ..... вреда вроде нет, но клиент перегружается когда захочет + при подготовке лога syscure смог сделать только в safe mode ...выручайте уж очень неохота ось перебивать. Обращаюсь первый раз... так что если накосячил то sorry
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    не плохие "хвостики"
    выполните скрипт .....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Iic34', 4);
     SetServiceStart('Wej84', 4);
     DeleteService('Wej84');
     SetServiceStart('protect', 4);
     DeleteService('protect');
    QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Wej84.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\grdusb.sys','');
     QuarantineFile('C:\WINDOWS\system32\diperto5494-7819.sys','');
     QuarantineFile('Iic34.sys','');
     QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
     QuarantineFile('c:\windows\system32\cssrss.exe','');
     DeleteFile('c:\windows\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
     DeleteFile('Iic34.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wej84.sys');
      BC_DeleteSvc('Iic34');
      BC_DeleteSvc('Wej84');
      BC_DeleteSvc('protect');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    5
    Вес репутации
    59
    Опять логи снять получилось только в безопасном, иначе BSOD сразу, после выполнения скрипта система обнаружила 2 новых устройства без данных. Жду дальнейших указаний
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\cssrss.exe Trojan-Downloader.Win32.Agent.isd
    C:\WINDOWS\system32\LogCrypt.dll Trojan.Win32.Agent.eub
    C:\WINDOWS\system32\DRIVERS\grdusb.sys - чистый
    пофиксите ..
    Код:
    O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('diperto5494-7819', 4);
     DeleteService('diperto5494-7819');
     DeleteFile('C:\WINDOWS\system32\diperto5494-7819.sys');
     DeleteFile('LogCrypt.dll');
     BC_ImportDeletedList;
     BC_DeleteSvc('FCI');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    5
    Вес репутации
    59
    система просканировалась в обычном режиме ... уже спасибо ....высылаю логи ..... если можно то вкратце расскажите как я сам мог обнаружить эти объекты .... и написать скрипт ... чтобы не мучать вас каждый раз
    Вложения Вложения

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Ваш домен?
    Код:
    85.255.112.15
    org-name: UkrTeleGroup Ltd.
    address: UkrTeleGroup Ltd.
    address: Mechnikova 58/5 65029 Odessa
    Добавлено через 1 минуту

    Если нет, то:
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8DB375BB-6D90-48B4-8E27-4DB61DC8A810}: NameServer = 85.255.116.156,85.255.112.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFEE0CC-9BF1-4A8B-AD15-6C640BEAD2BC}: NameServer = 85.255.116.156,85.255.112.15
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.156 85.255.112.15
    O17 - HKLM\System\CS1\Services\Tcpip\..\{8DB375BB-6D90-48B4-8E27-4DB61DC8A810}: NameServer = 85.255.116.156,85.255.112.15
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.156 85.255.112.15
    O17 - HKLM\System\CS2\Services\Tcpip\..\{8DB375BB-6D90-48B4-8E27-4DB61DC8A810}: NameServer = 85.255.116.156,85.255.112.15
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.156 85.255.112.15
    Добавлено через 1 минуту

    если можно то вкратце расскажите как я сам мог обнаружить эти объекты .... и написать скрипт ... чтобы не мучать вас каждый раз
    Этому не одинь день учиться , если есть желание можно заисаться в студенты....обучим
    Последний раз редактировалось akoK; 15.02.2008 в 10:25. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    5
    Вес репутации
    59
    домен не мой .... пофиксил .. логи надо ?.... система упорно ищет 2 устройства и не находит на них дрова.... и еще как вся эта дрянь пролезла через нод со свежими базами не подскажите ?.....спасибо за помощь кстати огромное

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Свежую дрянь может пропустить любой антивирус....что за устройства ломятся?
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    14.02.2008
    Сообщений
    5
    Вес репутации
    59
    эта собака грохнула дрова на звук и еще пару устройств .... огромное спасибо за помощь .... похоже чисто... остальное моя головная боль..... а как записаться в ученики ?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\cssrss.exe - Trojan-Downloader.Win32.Agent.isd (DrWEB: Trojan.DownLoader.46357)
      2. c:\\windows\\system32\\logcrypt.dll - Trojan.Win32.Agent.eub (DrWEB: Trojan.DownLoader.46414)


  • Уважаемый(ая) rsa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Модификация машинного кода.
      От Quit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.11.2010, 12:40
    2. Модификация машинного кода
      От ssh в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.07.2009, 00:21
    3. Модификация машинного кода
      От Ивпал в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:36
    4. Ответов: 12
      Последнее сообщение: 22.02.2009, 02:28
    5. Модификация машинного кода.
      От ViVeda в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.02.2008, 18:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00252 seconds with 20 queries