Целый букет заразы

**Hanson** · 30.06.2008, 12:39

нод определил следущие разновидности зверей
wigon.ck
TrojanDownloader.FakeAlert.DJ
PSWChill.B
Statik
TrojanDownloader.Tiny.NJ
а AVZ нашел
Zbot.cns
mutant.aib

мутант и збот в карантине есть + еще чтото непонятное там есть
если надо могу выслать

да кстати, негрузиться вирустотал, сайт нода, другие не пробовал, может и они не грузяться
пропали закладки в свойствах экрана, (это помоему в логох должно написано быть)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 30.06.2008, 13:09

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 QuarantineFile('C:\WINDOWS\iexplorer.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphctw4j0e77c.scr','');
 QuarantineFile('C:\WINDOWS\System32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ouy38.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ouy38.sys');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\iexplorer.exe');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ouy38');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25564

Повтрите логи.

**Hanson** · 30.06.2008, 14:09

Файл сохранён как 080630_050913_virus_4868b0c9c3e90.zip
Размер файла 202786
MD5 92b8d5aef0d932fe1dd086c6013decf7

**PavelA** · 30.06.2008, 14:27

Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll

C:\WINDOWS\iexplorer.exe мало кто знает.

ни одного экземпляра вот этого ты не заслал - PSWChill.B

**Hanson** · 30.06.2008, 14:42

Сообщение от PavelA

Trojan-Spy.Win32.BZub.eao - C:\WINDOWS\system32\ipv6monl.dll
Trojan-Downloader.Win32.Mutant.aij - C:\WINDOWS\system32\WinCtrl32.dll

C:\WINDOWS\iexplorer.exe мало кто знает.

ни одного экземпляра вот этого ты не заслал - PSWChill.B

этих вроде как нод прибивал, они в его карантине, если надо могу пристать и его

кстати WinCtrl32.dll выжил после скрипта, + видимо создал winns84
добил через айсворд и скриптом
теперь вроде нет его(покрайней мере рансканер непоказывает)

Добавлено через 4 минуты

кстати тут еще есть файлик Midisyn.sys
разве это не вирус??
а еще такой появился , вроде тож странный
C:\WINDOWS\System32\drivers\runtime.sys

**PavelA** · 30.06.2008, 14:49

Мы ж новых логов не видим, поэтому не знаем выжил WinCtrl32.dll или нет. Там еще его бэкар может болтаться с таким же именем.

Давай этого Midisyn.sys через карантин на анализ. Желательно его одного.

Логи новые надо сделать, чтобы посмотреть что выжило.

Добавлено через 1 минуту

C:\WINDOWS\System32\drivers\runtime2.sys - известная штучка.
Логи делай, добъем зверя.

**Hanson** · 30.06.2008, 14:57

ошибка карантина

логи уже делаю

**Hanson** · 30.06.2008, 15:18

ну вот свежие логи.

карантин нода слать?

**Hanson** · 30.06.2008, 15:20

постоянно хост забивается чемто, после каждой перезагрузки

**PavelA** · 30.06.2008, 15:27

Вот еще один попался:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
 DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин и снова делать логи.
runtime2.sys в логах не увидел.

**Hanson** · 30.06.2008, 15:40

C:\WINDOWS\System32\drivers\runtime.sys
у меня рансканер показывает его красным, а в логах и правда невидно его

а что насчет C:\WINDOWS\System32\drivers\midisyn.sys

Добавлено через 4 минуты

карантин пуст

**Hanson** · 30.06.2008, 16:00

новые логи

**Hanson** · 30.06.2008, 16:11

C:\WINDOWS\system32\blphctw4j0e77c.scr в реестре и в ини файле
C:\WINDOWS\system32\msnmod.exe
C:\Program Files\MDPREI\mpki\mpkishex.dll, вот этот странный

вот что я нашел

и по этому тож вопрос еще C:\WINDOWS\system32\drivers\MidiSyn.sys

**PavelA** · 30.06.2008, 16:13

Для остатков runtime сделаю скрипт. Это довольно старенькое зло с хорошо известным составом.

Добавлено через 1 минуту

C:\WINDOWS\system32\blphctw4j0e77c.scr - шутка от sysinternals (screensaver s BSOD)

**Hanson** · 30.06.2008, 16:36

тоесть его надо удалять???

Добавлено через 20 минут

есть еще проблемы
в Host постоянно прописыфвается ерунда всякая
и в свойствах экрана нет закладок некоторых

**PavelA** · 30.06.2008, 16:50

Лови лечилку для экрана:
http://www.kellys-korner-xp.com/regs...desktoptab.reg

Я думал, что в hosts это твое

Попробуй:

Код:

begin
Clearhostsfile;
end.

После перезагрузки посмотри появится заново ерунда эта или нет.

**Hanson** · 30.06.2008, 16:51

ожил
и хост' ик чистый теперь

**PavelA** · 30.06.2008, 16:57

На том сайте много полезного есть. Только использовать надо аккуратно.

**Hanson** · 30.06.2008, 17:04

у меня остались только вопросы к system32\drivers\MidiSyn.sys
вот сдесь его удаляют http://virusinfo.info/showthread.php?p=233589

Добавлено через 1 минуту

Сообщение от PavelA

На том сайте много полезного есть. Только использовать надо аккуратно.

вот на этом ?? http://www.kellys-korner-xp.com