Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Последствия Ludor, Mixor и Glowa (заявка № 6740)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64

    Thumbs up Последствия Ludor, Mixor и Glowa

    Лечил сначала Касперским, потом AVZ.
    На первый взгляд вроде бы всё нормально - exe'шников инфицированных не находит, файлов *.t больше не осталось тоже.
    Но есть такое подозрение, что совсем ещё не всё вылечилось.
    Один из симптомов - при нажатии ctrl+alt+del появляется сообщение "Диспетчер задач отключен администратором"

    Логи в приложении.

    Спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    чтобы вернуть на место Диспетчер задач, нужно в AVZ в меню "Файл -> Восстановление системы" поставить галку напротив "Удаление всех Policies..." и нажать "Выполнить отмеченные операции".

    для чистки системы:
    в программе HijackTHis пофиксить следующие строки:
    O1 - Hosts: c.uloec.com
    O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
    O4 - HKLM\..\Run: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe
    O4 - HKLM\..\Run: [ms] C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\176\gm.exe
    O4 - HKLM\..\Run: [Explorer 2238] C:\WINDOWS\system32\dxvwrxjd.exe
    O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
    O4 - HKLM\..\RunServices: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe
    O4 - HKCU\..\Run: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe
    O4 - HKCU\..\Run: [Key] C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\E.tmp
    O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl56bd.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\
    O20 - Winlogon Notify: WLogon - srvc.dll (file missing)
    O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\system32\geczt.dll (file missing)
    O21 - SSODL: DCOM Server 2238 - {2C1CD3D7-86AC-4068-93BC-A02304BB2238} - C:\WINDOWS\system32\dxvwrxjd.exe
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVuaXNvNGth\command.exe (file missing)
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

    следующие файлы (если найдутся через AVZ) прислать на исследование по правилам форума (предварительно убедитесь, что включено противодействие руткитам в AVZ!):
    C:\WINDOWS\system32\spoolsvv.exe
    c:\windows\system32\_mzu_stonedrv3.exe
    C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\176\gm.exe
    C:\WINDOWS\system32\dxvwrxjd.exe
    C:\WINDOWS\system32\wservice.exe
    C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\E.tmp
    C:\WINDOWS\system32\rpcc.dll
    C:\WINDOWS\system32\geczt.dll
    C:\WINDOWS\RGVuaXNvNGth\command.exe
    c:\windows\system32\taskdir.exe
    C:\WINDOWS\system32\adir.dll
    C:\WINDOWS\system32\daoprint.dll
    srvc.dll
    C:\WINDOWS\system32\oyethk32.dll
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\svclient.dll
    C:\WINDOWS\system32\scnike.dll
    C:\WINDOWS\system32\izpromon.dll
    C:\Documents and Settings\afterglow\Local Settings\Temp\00000727.tmp
    C:\Documents and Settings\afterglow\Local Settings\Temp\00000748.tmp
    C:\Documents and Settings\afterglow\Local Settings\Temp\snatch2.exe (вот этот файл нужен в первую очередь)
    C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\00000753.tmp
    C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\OZEV21M1\se[1].exe
    C:\WINDOWS\system32\se.exe.exe
    C:\WINDOWS\system32\vxgame*.exe
    после указанных операций - перезагрузить компьютер и сделать новые логи, которые приложить к теме.
    Последний раз редактировалось MOCT; 12.11.2006 в 23:47.

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Диспатчер вернулся, спасибо!
    А насчёт всего остального - логи чистые?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от afterglow
    Диспатчер вернулся, спасибо!
    А насчёт всего остального - логи чистые?
    читайте предыдущее сообщение - я там добавил еще много нового

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Цитата Сообщение от MOCT
    (предварительно убедитесь, что включено противодействие руткитам в AVZ!)
    Я правильно понял, что для этого нужно проставить галки на всех трёх боксах в разделе RootKit в закладке "Параметры поиска"?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Там на самом деле надо две галки поставить.
    В строках:
    "Блокировать работу RootKit User-Mode"
    и
    "Блокировать работу RootKit Kernel-Mode"
    Наше дело правое--победа будет за нами!!!

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    HJT пофиксил.
    А архив с найденными AVZ файлами слишком большой - 355кб, не влезает в отведённое под вложения место.
    Может быть отправить на почту?

  9. #8
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Палыч
    Ага, так и сделал уже. Спасибо!

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Файлы сюда прикреплять не надо.
    В Правилах написано, как надо отправлять запрошенные файлы. Смотри приложения к Правилам.
    Наше дело правое--победа будет за нами!!!

  11. #10
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Oops. Сорри за невнимательность.
    Файл отправил.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    по присланным файлам: все прияланное - трояны. нужно удалять через отложенное удаление в AVZ.

    C:\WINDOWS\system32\rpcc.dll - SpamBot
    C:\WINDOWS\system32\dxvwrxjd.exe - троян
    C:\WINDOWS\system32\adir.dll - Email-Worm.Win32.Banwarum.f (Касперский)
    c:\windows\system32\taskdir.exe - недетектируемый кусок червя Banwarum, по совместительству Trojan.SpamBot (DrWeb)
    C:\WINDOWS\system32\vxgame1.exe - Trojan-Proxy.Win32.Xorpix.au (внутри - разновидность .at) (Касперский)
    C:\WINDOWS\system32\vxgame3.exe - троян-дроппер Trojan-Downloader.Win32.Small.coy (Касперский)
    C:\WINDOWS\system32\vxgame4.exe - троян-дроппер Trojan-Downloader.Win32.Small.dzd (Касперский)

    C:\Documents and Settings\afterglow\Local Settings\Temp\00000727.tmp
    C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\00000753.tmp
    C:\Documents and Settings\afterglow\Local Settings\Temp\snatch2.exe
    эти три файла одинаковые Trojan-Spy.Win32.Goldun.ms (Касперский)

    C:\WINDOWS\system32\se.exe.exe
    C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\OZEV21M1\se[1].exe
    эти два файла одинаковые, недетектируемые трояны для скачивания других троянов.

    ждем логи сделанные после чистки заразы

  13. #12
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Новые логи
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    уже гораздо лучше, осталось несколько хвостов.

    пофиксить с помощью HijackThis:
    O4 - HKCU\..\Run: [_mzu_stonedrv3] c:\windows\system32\_mzu_stonedrv3.exe
    O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
    O16 - DPF: {FAB8A8E6-219A-4C0A-AD91-BF4AB3947D6B} (SingleClient Class) - file://C:\DOCUME~1\AFTERG~1\LOCALS~1\Temp\aChat\achat_def ault-3.3.1.0.cab
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVuaXNvNGth\command.exe (file missing)

    из "Менеджера расширений проводника" в AVZ удалить строки с упоминанием следующих файлов:
    C:\WINDOWS\system32\oyethk32.dll
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\svclient.dll
    C:\WINDOWS\system32\scnike.dll
    C:\WINDOWS\system32\izpromon.dll

    из "Менеджера файла Hosts" в AVZ удалить все строки, кроме строки
    127.0.0.1 localhost

    удалить все файлы вида:
    C:\Documents and Settings\afterglow\Local Settings\Temporary Internet Files\Content.IE5\A3KJZOLS\000007*.tmp

    после этого перезагрузиться, сделать новые логи и прикрепить их к теме.

  15. #14
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Ещё раз логи
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    В диспетчере служб и драйверов AVZ удалите строки ссылающиеся на файл C:\WINDOWS\RGVuaXNvNGth\command.exe

    Что-то не нравится мне что у Вас каждый раз лечатся одни и те же архивы... Да и строки от Look2Me из реестра так и не удалились:
    C:\WINDOWS\system32\oyethk32.dll
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\svclient.dll
    C:\WINDOWS\system32\scnike.dll
    C:\WINDOWS\system32\izpromon.dll

    а симптомы заражения какие-нибудь остались?

  17. #16
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Строку, ссылавшуюся на файл С:\WINDOWS\RGVuaXNvNGth\command.exe убрал

    А строки от Look2ME вообще удаляться оттуда не хотят - с них можно только галки убрать.

    Видимых симптомов заражения не осталось, кроме 16килобайтных файлов *.exe в архивах *.rar.
    Все *.exe, инфицированные Glowa, почистил из найденных AVZ архивов вручную, логи сделал уже после этого.
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    все выглядит чистым

  19. #18
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Несмотря на это - Касперский опять находит вирусы
    Сразу нашёл
    С:\WINDOWS\system32\taskdir~.exe
    и
    C:\WINDOWS\system32\se.exe.exe

    Дальше я его гонять не стал.

    Всё-таки где-то что-то осталось?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    вряд ли. видимо это резервные копии заразы, из которых они должны были восстанавливаться или распространяться. эти файлы можно спокойно удалить.

  21. #20
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    16
    Вес репутации
    64
    Отлично! Спасибо огромное!

  • Уважаемый(ая) afterglow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Последствия PC Defender
      От alek68 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.09.2010, 19:28
    2. Последствия
      От xlim в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.06.2010, 00:04
    3. Последствия...
      От mdotx в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.04.2010, 00:42
    4. Последствия вируса
      От alexmm в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.12.2009, 09:14
    5. Последствия пинча...
      От jahman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 01:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01640 seconds with 20 queries