-
Junior Member
- Вес репутации
- 56
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Сообщение от
Whale
Даже попытался сам написать скрипт...
Не вздумайте его запускать. Если чешутся руки - переустановите ОС.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
O4 - HKCU\..\Run: [MsServer] msfir80.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('%SystemRoot%\System32\syssetub.dll','');
QuarantineFile('msfir80.exe','');
DeleteFile('msfir80.exe');
DeleteFile('C:\WINDOWS\system32\msfir80.exe');
QuarantineFile('msime80.exe','');
DeleteFile('msime80.exe');
DeleteFile('C:\WINDOWS\system32\msime80.exe');
DeleteFile('%SystemRoot%\System32\syssetub.dll');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Если у Вас появится неизвестное устройство - удалите его через диспетчер устройств.
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Rene-gad
Не вздумайте его запускать. Если чешутся руки - переустановите ОС.
Нет Нет!!
Я на сегодняшний день прохожу обучение в соответствующем разделе и уже стал разбираться в некоторых тонкостях системы. Именно поэтому и решился на самостоятельное написание скриптов. Естественно осознаю к чему это может привести...
Именно поэтому и стал просить помощи именно знатоков, а не полагаться лишь на себя!
Кстати, мой скрипт отличается от вашего приблизительно на 30% - как раз этих %% в моем не хватает но структура верна
Сейчас буду ваш анализировать и сопоставлять.
Спасибо!!!
Добавлено через 9 часов 28 минут
Файл сохранён как 100120_215336_quarantine_4b575130f1c6f.zip
Размер файла 461217
MD5 b648814ef1c9b32ffc34b7dabf9c84ec
Логи позднее - делаются...
Последний раз редактировалось Whale; 20.01.2010 в 21:54.
Причина: Добавлено
-
-
-
У вас живой кидо. И неудивительно, ибо:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gnbpbgl.dll','');
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=67909).
Сделайте лог gmer.
I am not young enough to know everything...
-
-
-
Junior Member
- Вес репутации
- 56
Итак. все сделал
Файл сохранён как 100121_192906_virus_4b5880d22ac46.zip
Размер файла 162691
MD5 a53d34e74c1d0a562fbb08f9d6884274
Лог Gmer.log прилагаю. Там явно какая то зараза сидит...
-
Junior Member
- Вес репутации
- 56
Обновил WXP до СП3. Обновил Акробат до 9.3
Подозрительного ничего пока не происходит.
Может еще какой лог снять? И что с gmer делать?
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gnbpbgl.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\vckmb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\vckmb');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Сделал новые логи.
Комп стал грузиться быстрее.
-
Чисто.
Проблем больше нет?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Тема закрыта!
Сообщение от
Bratez
Чисто.
Проблем больше нет?
Да. комп работоспособен. Никаких симптомов нет.
Спасибо!!!
Тема закрыта!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Siggen.73, BitDefender: Gen:Trojan.Heur.AutoIT.DmNfbyereqlm, AVAST4: Win32:Crypt-FER [Trj] )
- c:\windows\system32\gnbpbgl.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AA worm, AVAST4: Win32:Confi [Wrm] )
- e:\autorun.inf - Net-Worm.Win32.Kido.ir ( BitDefender: Worm.Autorun.VHG, AVAST4: BV:AutoRun-S [Wrm] )
-