-
Junior Member
- Вес репутации
- 58
Virtumonde. Zhelatin and Socks.
Добрый день! нужна помощь в истребление троянов типа Virtumonde. началось все с того,что на рабочем столе появилось сообщение об windows warning message и отсутствие возможности смены скринов рабочего стола. KIS находит их,удаляет,после перезагрузки они появляются снова(сеть выключена). выкладываю логи.
Надеюсь на помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.comO2 - BHO: 604262 helper - {4F006697-FB04-4B67-86BB-0DCA9C0514B4} - C:\WINDOWS\system32\604262\604262.dll
O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\syses.exe
- Выполните скрипт 1
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{4F006697-FB04-4B67-86BB-0DCA9C0514B4}');
DeleteService('TlntSvrNetman');
DeleteService('TapiSrvRemoteAccess');
DeleteService('mnmsrvcTlntSvr');
DeleteService('dmadminWZCSVC');
QuarantineFile('C:\WINDOWS\system32\604262\604262.dll','');
QuarantineFile('C:\WINDOWS\system32\syses.exe','');
DeleteFile('C:\WINDOWS\system32\604262\604262.dll');
DeleteFile('C:\WINDOWS\system32\syses.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('TlntSvrNetman');
BC_DeleteSvc('TapiSrvRemoteAccess');
BC_DeleteSvc('mnmsrvcTlntSvr');
BC_DeleteSvc('dmadminWZCSVC');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Выполните скрипт 2
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 24.08.2008 в 21:26.
-
-
Junior Member
- Вес репутации
- 58
Если Вы замечаете ошибку в начале пути - нужно остановиться и спросить, т.к. дальнейшее движение не имеет смысла.
Я исправил ошибку.
Повторите, плиз, все , начиная со скрипта 1.
-
Junior Member
- Вес репутации
- 58
Хорошо, спасибо за совет. в таком случае хочу сразу пожаловаться на то, что после выполнения скрипта 1 Пк на перезагрузку не уходит автоматически. думает при сообщении "Выключение компьютера,сохранение параметров" ждал более 15 минут.пришлось жать RESET. Ранее при выполнении скриптов такого не было.
Продолжать скрипт 2 при таком положение вещей?
Последний раз редактировалось stranger87; 24.08.2008 в 22:39.
Причина: Ошибки
-
Сообщение от
stranger87
Продолжать скрипт 2 при таком положение вещей?
Да
-
-
Junior Member
- Вес репутации
- 58
Выполнил все как Вы указали.
Карантин выслал,логи прикрепил.
-
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Какие еще проблемы?
-
-
Junior Member
- Вес репутации
- 58
Пофиксил. Все прошло успешно. Особых проблем больше не обнаружено за исклюением одного момента - в папке Мой Компьтер появилась странная папка "Веб Папки" где находится ярлычок с "Мои Узлы MSN" Не знаю, что за папка ибо ранее такой у меня никогда не было( по крайней мере в папке Мой Компьютер) Самое обидное то, что удалить не получается...
-
Запустите редактор реестра , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\NonEnum\{BDEADF00-C265-11D0-BCED-00A0C90AB50F} должно быть значение-(1).
-
-
Junior Member
- Вес репутации
- 58
Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))
-
Сообщение от
stranger87
Открыл редактор реестра, дошел до строки Policies и встал в тупик , так как папки NonEnum нет. в Policies только Ratings, где значений ,увы, никаких нет ((((
Файл в аттаче переименуйте в 1.reg и запустите
Сообщение от
stranger87
Да, и еще с панели пропала раскладка языков. это сообщение писал с раскладкой "как попадется" )))
Почитайте и выполните: http://virusinfo.info/showthread.php?t=20712
Последний раз редактировалось Rene-gad; 18.07.2009 в 19:22.
-
-
Junior Member
- Вес репутации
- 58
С аттачем разобрался- запустил, все лишнее из Мой Компьютер изчезло. проблема решена.
Не разобрался пока с изображением языков на панели. прошел по ссылке удалил ключи (остался только Baloon Tip) перезагрузился. Языков по прежнему нет((( Можно запустить панель путем ПУСК-ВЫПОЛНИТЬ ctfmon.exe. а во ткак ег ов автозагрузку сделать...
-
Тут: http://www.izcity.com/faq/winxp/question2345.html предлагается очень много вариантов. Попробуйте
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 52
- В ходе лечения вредоносные программы в карантинах не обнаружены
-