маскировка процесса smss.exe
спасайте, други, сервак валится... а я ничего понять не могу.
win2003Server SP1 на машине, может, в этом причина??
перед этим был пробой вирусом, сидящем в userinit.exe, он, вроде, помер, а вот этот гад остался... помогите извести!!!
логи прилагаю, как обычно.
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe',''); QuarantineFile('%WinDir%\System32\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\basebfgd32.dll',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24422 ).
Затем выполните такой скрипт в AVZ:
Сделайте новые логи.Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
рано, рано я успокоился!!!
времени не было заехать доделать. а сегодня... упали дрова, восклицательные знаки на многих устройствах, знакомая картина, блин.
помогите, плз, как можно скорее. а то меня съедят живьем просто (((
карантин и логи.
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sstcpmon.dll',''); QuarantineFile('C:\WINDOWS\system32\ws132.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\wlbs.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\update.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\mickey32.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\smss.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('qandr'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24422 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
кстати, не написал, второй скрипт попросил что-то пофиксить, я согласился...
Правильно, что согласилисьОн удалил трояна basebfgd32.dll и исправил запись в реестре.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
закачал. логи жду с минуты на минуту
логи!!
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
все драйвера в порядке, но:
1. новые устройства определяются неверно, приходится обновлять драйвер.
2. Не могу восстановить WANminiport (****) - не работает интернет через РРРОЕ
пишет неправильная секция установки службы в inf-файле
3. и служба mickey ругается на ошибку - зловред?
1) Замените C:\WINDOWS\system32\userinit.exe на чистый с дистрибутива или с другой здоровой системы (замену лучше проводить из консоли восстановления).
2) ws132.dll - Backdoor.Win32.Agent.kvi (свежий)
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ws132.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('mickey32'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
сделал. версия и размер userinit.exe из другой системы такие же...
скрипт прогнал. логи сделал... что с сокетами такое непонятное? почему ошибки постоянно?.. в общем, логи кладу.
забыл вложить, простите великодушно!
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
Задания планировщика задач - Ваши?
system32\DRIVERS\i8042prt.sys - этот файл скопируйте, как написано здесь http://virusinfo.info/showthread.php?t=17109 и пришлите в архиве с паролем virus сюда http://virusinfo.info/upload_virus.php?tid=24422
Пункт 2 правил выполняли?
Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.
И может быть, стоит поставить SP2.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
каюсь, не выполнял пункт 2... просто боялся, что он убьет что-нить и система не поднимется потом..
карантин сделаю счас, ловите...
задания в планировщике мои. обеспечивают поддержание РРРОЕ подключения и переброску файлов с отчетами для касс.
SFC сделал. и решил с установочника восстановление прогнать. результат напишу
Последний раз редактировалось antivor; 27.06.2008 в 15:15. Причина: уточнение
короче, таки все переставил, потому как сетка загнулась. прибило WAN miniport (***) и после этого ни в какую не вставал РРРОЕ протокол. так что тему можно закрывать.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\basexkh32.dll - Trojan.Win32.Pakes.cws (DrWEB: Trojan.Okuks.based)
- c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.ddu (DrWEB: Trojan.PWS.FTPlich.2)
- c:\\windows\\system32\\ws132.dll - Backdoor.Win32.Agent.kvi
Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
