-
Junior Member
- Вес репутации
- 62
help
Добрый день,WIN XP SP2 стоял Symantec Antivirus, этот друг при регулярном обновлении напропускал кучу троянов.
Снёс.
Поставил KIS7, активировал, но обновление не проходит пишет "невозможно подключиться к базам". При этом интернет работает, emule файлы качает и.т.п.
Правда в emule HI ID сменился на LOW ID несмотря на то что все порты оставил открытыми как прежде т.е встроенный файервол их не блокирует, даже антишпиона отключил но ничего не меняется.
Потом стал регулярно глуючить IE. Особенно если в поисковике нажимаешь на ссылку открывает какие-то спамовые сайты,а не то куда я хотел попасть.
Имея уже опыт virusinfo хотел зайти на ваш сайт с домашнего ПК - нифига! Нет такого сайта!
Еле удалось скачать и обновить AVZ. Hijackit тоже пишет что нет такого файла, пришлось использовать 10-и месячной давности.
Кстати, повторно поставил SYMANTEC - базы тоже не обновляет,пишет ошибка подключения.
вот логи
Последний раз редактировалось gargoyles; 18.04.2009 в 07:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте Icesword
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\wdF14.sys
C:\WINDOWS\system32\Drivers\Kos25.sys
C:\WINDOWS\system32\Drivers\Jnq71.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dll
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Добавлено через 5 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\EFSJFSPO\1[1].exe','');
QuarantineFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\VE71HXBB\1[1].exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('WLCtrl32.dll','');
SetServiceStart('tcpsr', 4);
DeleteService('tcpsr');
SetServiceStart('Nrq52', 4);
DeleteService('Nrq52');
SetServiceStart('wdF14', 4);
DeleteService('wdF14');
SetServiceStart('Kos25', 4);
DeleteService('Kos25');
SetServiceStart('Jnq71', 4);
DeleteService('Jnq71');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Jnq71.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Kos25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\wdF14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kos25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wdF14.sys');
DeleteFile('Nrq52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\YD8RO72N\xloader[1].exe');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\VE71HXBB\1[1].exe');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\EFSJFSPO\1[1].exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Пофиксить в HijackThis следующие строчки
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Добавлено через 38 секунд
Повторите логи
Последний раз редактировалось akoK; 28.05.2008 в 12:07.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 62
ок
Сделал всё,что написали!
Единственное файла
C:\WINDOWS\System32\drivers\tcpsr.sys
обнаружить не удалось.
А что такое Force Delete и почему нельзя было удалить руками из самих папок без оболочки Iceword?
Файлы карантина прилагаю, но они старые (до лечения тем методом что вы написали), больше файлов карантина не создалось после запусков AVZ, поэтому и приложил старые.
Ну и новые логи.
И ещё KIS7.0 так и не обновляется, в emule всё также LowID(при этом в файрволе на портах стоят галочки чтобы их не блокировали) и ещё БЛОКНОТ не запускается если кликать на текстовом документе.
Последний раз редактировалось gargoyles; 18.04.2009 в 07:50.
-
Карантин был прикреплен в теме и я его удалил.
xloader[1].exe - Trojan-Downloader.Win32.Agent.qph
1[1].exe - Trojan.Win32.DNSChanger.dla (проверяйте настройки интернета, он их меняет)
1[1].exe (другой файл)- Trojan-Dropper.Win32.Agent.rup
Добавлено через 57 секунд
Сообщение от
gargoyles
А что такое Force Delete и почему нельзя было удалить руками из самих папок без оболочки Iceword?
Потому что это агрессивный руткит, который всячески сопротивляется удалению.
Добавлено через 6 минут
Выполните скрипт в AVZ
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE','');
QuarantineFile('C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe','');
BC_DeleteSvc('Jnq71');
BC_DeleteSvc('clbdriver');
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Последний раз редактировалось Макcим; 29.05.2008 в 10:13.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
[quote=Maxim;233450]Карантин был прикреплен в теме и я его удалил.
xloader[1].exe - Trojan-Downloader.Win32.Agent.qph
1[1].exe - Trojan.Win32.DNSChanger.dla (проверяйте настройки интернета, он их меняет)
1[1].exe (другой файл)- Trojan-Dropper.Win32.Agent.rup
уважаемый,не подскажете как можно вернуть все настройки инета по-умолчанию потому что я видимых изменений не вижу, не понимаю что может мешать emule связываться по Hign ID ведь порты в файрволе открыты, и касперский тоже не понимаю почему не соединяется.
И опять загадкой остаётся что с домашнего ПК я не могу зайти на http://virusinfo.info - сайт не найден.
Где покопаться нужно?
карантин прикрутил сверху темы, но не вижу получилось ли это.
Повторяю,что карантин по состоянию до "лечения"
Спасибо заранее.
-
Junior Member
- Вес репутации
- 62
j
после скрипта MAXIMA заработал блокнот и наконец смог подключиться к http://virusinfo.info.
И о чудо! EMULE показал HIGH ID.
Догадываюсь что и KIS7 обновится без проблем.
Выкладываю логи и карантин.
Последний раз редактировалось gargoyles; 18.04.2009 в 07:50.
-
Junior Member
- Вес репутации
- 62
посмотрите пожалуйста,появилось подозрение что опять чего-то словил
Последний раз редактировалось gargoyles; 18.04.2009 в 07:50.
-
1. Ice Sword, находим:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Gkn60.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
и делаем им Force Delete.
2. HijackThis, фиксим строчку:
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
3. AVZ, выполняем скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Gkn60.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Gkn60');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки - новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
2. HijackThis, фиксим строчку:
[code]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32
а для общего развития просвятите пожалуйста,что означает "профиксить"? Подменить новым оригинальным файлом Windows?
-
-
-
Junior Member
- Вес репутации
- 62
вот логи свежие после выполнения вышеуказанных процедур
Последний раз редактировалось gargoyles; 18.04.2009 в 07:49.
-
-
-
Junior Member
- Вес репутации
- 62
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\007_a64\\local settings\\temporary internet files\\content.ie5\\ve71hxbb\\1[1].exe - Rootkit.Win32.Clbd.am (DrWEB: Trojan.Inject.342
- c:\\documents and settings\\007_a64\\local settings\\temporary internet files\\content.ie5\\yd8ro72n\\xloader[1].exe - Trojan-Downloader.Win32.Agent.qph (DrWEB: Trojan.DownLoader.62739)
-