Junior Member
Вес репутации
60
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
С внешнего носителя приколы и должны быть. А что переименованный с жёсткого диска не запускается или хотя бы из безопасногоо режима?
Junior Member
Вес репутации
60
Не знаю - не знаю...
В винта AVZ запустился, но XP уложил на том же самом месте...
Сейчас собираю логи в бесопасном режиме, только есть ли в этом прок?
А хиджак тоже лог не делает?
Junior Member
Вес репутации
60
Хиджак в пакетной версии делает...
Сейчас доделаю логи AVZ в безопасном и всё вместе залью в пост на Ваш суд
Junior Member
Вес репутации
60
Посмотрите плз логи...
Хиджак из-под normal mode
AVZ из-под safe mode
Вложения
Отключите восстановление системы. Очистите планировщик задач Task Scheduler.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wupdsvc1.exe','');
QuarantineFile('C:\WINDOWS\system32\aVmrJSTs.exe','');
QuarantineFile('C:\WINDOWS\system32\t60O6tws.exe','');
QuarantineFile('c:\windows\system32\mslz32.dll','');
QuarantineFile('C:\WINDOWS\watznew.exe','');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
SetServiceStart('alcom', 4);
StopService('alcom');
QuarantineFile('Ebdl43.sys','');
QuarantineFile('C:\WINDOWS\system32\alcomt.dll','');
DeleteFile('C:\WINDOWS\system32\alcomt.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\undname.exe');
DeleteFile('C:\WINDOWS\system32\t60O6tws.exe');
DeleteFile('C:\WINDOWS\system32\aVmrJSTs.exe');
DeleteFile('C:\WINDOWS\system32\wupdsvc1.exe');
DeleteService('alcom');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18340
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\undname.exe,
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\undname.exe,
O21 - SSODL: mslz32.dll - {582D4513-C2AF-5811-10E5-8679728F6EA7} - c:\windows\system32\mslz32.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('alcom');
SetServiceStart('alcom', 4);
StopService('Ebdl43');
SetServiceStart('Ebdl43', 4);
QuarantineFile('C:\WINDOWS\system32\wupdsvc1.exe','');
QuarantineFile('c:\windows\system32\mspe.exe','');
QuarantineFile('C:\WINDOWS\system32\aVmrJSTs.exe','');
QuarantineFile('C:\WINDOWS\system32\t60O6tws.exe','');
QuarantineFile('c:\windows\system32\mslz32.dll','');
QuarantineFile('C:\WINDOWS\watznew.exe','');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\alcom.sys','');
QuarantineFile('C:\WINDOWS\system32\alcomt.dll','');
DeleteFile('C:\WINDOWS\system32\alcomt.dll');
DeleteFile('C:\WINDOWS\system32\alcom.sys');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\undname.exe');
DeleteFile('c:\windows\system32\mslz32.dll');
DeleteFile('C:\WINDOWS\system32\t60O6tws.exe');
DeleteFile('C:\WINDOWS\system32\aVmrJSTs.exe');
DeleteFile('c:\windows\system32\mspe.exe');
DeleteFileMask('c:\windows\tasks\', 'at*.job',true);
BC_ImportDeletedList;
BC_DeleteSvc('alcom');
BC_DeleteSvc('Ebdl43');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Ebdl43.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18340 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо helperам, по-моему всё чисто .
Новые логи прилагаю....
Вложения
Да, все прошло удачно.
Что вот это за файлики у вас нехорошие? -
C:\Documents and Settings\svi\Мои документы\Distrib\MapInfo\shkm7801.zip/{ZIP}/start.exe >>>>> Trojan-Downloader.Win32.Small.gl
C:\Documents and Settings\svi\Мои документы\MyDoc\Иванов\Архив\shkm7801.zip/{ZIP}/start.exe >>>>> Trojan-Downloader.Win32.Small.gl
Рекомендуется отключить все ненужное из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Junior Member
Вес репутации
60
Это кряк к ГИС MapInfo в двух экземплярах - снесу....
Еще раз спасибо за помощь и советы..
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 30 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\alcom.sys - Rootkit.Win32.Agent.abc (DrWEB: Trojan.PWS.GoldSpy) c:\\windows\\system32\\alcomt.dll - Trojan-Spy.Win32.Goldun.wp (DrWEB: Trojan.PWS.GoldSpy) c:\\windows\\system32\\mslz32.dll - Worm.Win32.Feebs.nj (DrWEB: Win32.HLLM.Graz) c:\\windows\\system32\\mspe.exe - Worm.Win32.Feebs.nj (DrWEB: Win32.HLLM.Graz) c:\\windows\\system32\\svshost.dll - Backdoor.Win32.Small.cvo (DrWEB: BackDoor.Dld.1179) c:\\windows\\system32\\wupdsvc1.exe - Trojan.Win32.Pakes.bml (DrWEB: BackDoor.Bulknet.83)