На компьютере жил целый виварий,
частично извел врагов с помощью NAV 2003
остальное добивал AVZ.
Извергов было много, и теперь мучаюсь сомнениями
все ли они ушли и не оставили что-нить на память о себе
Посмотрите, пожалуйста, логи.
На компьютере жил целый виварий,
частично извел врагов с помощью NAV 2003
остальное добивал AVZ.
Извергов было много, и теперь мучаюсь сомнениями
все ли они ушли и не оставили что-нить на память о себе
Последний раз редактировалось alexx; 28.04.2008 в 16:02.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ещё много чего есть
Отключить симантек и интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}'); QuarantineFile('c:\autoex.dll',''); QuarantineFile('iegm486.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('C:\WINDOWS\system32\alt.exe.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\WINDOWS\aromis.exe',''); QuarantineFile('C:\WINDOWS\ArgoUpdate.cmd',''); QuarantineFile('C:\Documents and Settings\user\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe',''); QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\47B9.tmp.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx42.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Jqs31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Els07.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hjq63.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\47B9.tmp.exe'); DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe'); DeleteFile('C:\Documents and Settings\user\cftmon.exe'); DeleteFile('c:\autoex.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6 ); ExecuteRepair(8 ); BC_Activate; RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21944
сделайте новые логи.
P.S. Это только начало, скорее всего надо будет ледяной меч качать
Последний раз редактировалось drongo; 24.04.2008 в 11:41.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
иш какие коварные попались))
карантин загрузил
Файл сохранён как 080424_025218_virus_48103c32e2beb.zip
Размер файла 19817
MD5 c3b80bad10a65ae1d5168b9c277d97c8
симантек коварно не желает отключаться.
P.S. меч так меч
Последний раз редактировалось alexx; 28.04.2008 в 16:02.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\documents and settings\user\ie_updates3r.exe'); QuarantineFile('C:\WINDOWS\system32\alt.exe.exe',''); QuarantineFile('C:\WINDOWS\kavir.exe',''); QuarantineFile('C:\WINDOWS\aromis.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe',''); QuarantineFile('c:\documents and settings\user\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); DeleteFile('c:\documents and settings\user\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spools.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Cls42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Els07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gnu86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hjq63.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Jqs31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jqx42.sys'); DeleteFile('C:\WINDOWS\aromis.exe'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\kavir.exe'); DeleteFile('C:\WINDOWS\system32\alt.exe.exe'); BC_ImportDeletedList; BC_DeleteSvc('lbrtfdc'); BC_DeleteSvc('Jqs31'); BC_DeleteSvc('Hjq63'); BC_DeleteSvc('Gnu86'); BC_DeleteSvc('Els07'); BC_DeleteSvc('Cls42'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('Google Online Services'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21994
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:O9 - Extra button: (no name) - AutorunsDisabled - (no file) O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Добавлено через 2 минуты
В карантин попали: WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hx, partnership.dll - Trojan-Proxy.Win32.Xorpix.ds по ArgoUpdate.cmd - нужно подождать ответа аналитиков.
Последний раз редактировалось wise-wistful; 24.04.2008 в 12:15. Причина: Добавлено
Скрипт выдает ошибку
Undeclared identifer: BC_DeleteServcice в позиции 33:17
ArgoUpdate.cmd это творение нашего сис админа призваное обновлять рабочую базу.
Вы в скрипте ничего не меняли?Там нет такой команды BC_DeleteServcice,скрипт правильный.
alexx я заметил свою ошибку исправил скрипт, но Вы наверное уже успели его скопировать. Попробуйте ещё раз.
скрипт, таки, выполнился.
карантин закачал
остальные рекомендации выполнил.
жду дальнейших указаний
Последний раз редактировалось alexx; 28.04.2008 в 16:02.
ie_updates3r.exe-Trojan-Downloader.Win32.Winlagons.bn
Вот этот файлик iegm486.exe пришлите согласно приложению 2 правил.
Это ваш провайдер:
Если нет,пофикситьКод:Gabriel Ionita Dial Telecom S.R.L. Opera Center II, 2 Dr. Nicolae Staicovici Street Bucharest 5 Romania
Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245 O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAE7F23-943D-43DD-81B5-E3C2654756F7}: NameServer = 80.96.202.245 O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0A6228-0E02-4DEB-93C4-AD46A03BD67B}: NameServer = 80.96.202.245 O17 - HKLM\System\CS1\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245 O17 - HKLM\System\CS2\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245
Указанный файл на контакт идти отказался))
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\iegm486.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\iegm486.exe)
Карантин с использованием прямого чтения - ошибка
остальные строчки пофиксил.
еще логи? или уже можно вздохнуть с облегчением?
Поищите в этих директориях его ручками,найдете запакуйте в архив с паролем "virus" и пришлите по ссылке вверху страницы.
к сожалению данный файл в этих директориях не виден
в AVZ удалось найти только по маске IEGM486* следующий файл
C:\WINDOWS\Prefetch\IEGM486.EXE-08854AE9.pf
могу прислать его если он представляет интерес для науки.
Последний раз редактировалось alexx; 24.04.2008 в 14:26.
Не понял?
ну нет такого файла,
видимо он прошел курсы шпионов и очень хорошо прячется))
Файл с расширением pf присылать не надо.
З.Ы. pf-файлы создаются Windows и существуют для быстрого доступа к часто запускаемым программам. Нужно прислать файл, на который ссылается pf-файл, но его, видимо, нет.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
значит сей компьютер можно считать здоровым и готовым к приему новых экземпляров вредителей?))
Профиксите
Повторите virusinfo_syscheck.zip и hijackthis.logКод:O4 - HKLM\..\Run: [advap32] "iegm486.exe"/r
сделано
Последний раз редактировалось alexx; 28.04.2008 в 16:02.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите лог virusinfo_syscheck.zipКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('iegm486.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
сделано
Последний раз редактировалось alexx; 28.04.2008 в 16:02.
Уважаемый(ая) alexx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
