-
Прошу помощи в добивании Internet Security.
Удалось своими силами 2 раз победить вирус Internet Security без применения LiveCD. Не давал ни в какую запустить AVZ. Если пробовать fix в HiJack - тут же запись пересоздавалась с другими параметрами. Вообщем никаких результатов не удавалось получить.
Но 2 раза получилось обойти его только утилитой HiJack.
Для этого понадобилось:
1. Переименовать утилиту HiJackThis в Hi...
2. Запускаем ее (Если вываливается окно IS то запускать из безопасного режима). Сканим БЕЗ ЛОГА (если задать с логом - то при создании лога в ребут отправлял компьютер.)
3. Обнаруживаем в 020 (или в 023) AppInit... ссылку на нашего зловреда.
4. Если вдруг подобного нет кликаем по кнопке Config. Закладка Ignorelist. (Во втором случае у меня он был тут прописан за счет этого в общем логе не виделся). Все что тут имеется удаляем.
5. Жмем Back и снова проверяемся без лога. Запоминаем (или записываем) путь к этому зловреду. (в пути будет скорее всего содержаться название потока, а на него не обращаем внимание, нас интересует конечный файл.)
6. Жмем Main Menu. Потом Open the Mics Tool section. Там кнопку Delete a file on reboot. Находим нашего зловреда - удаляем. На предложение о перезагрузке соглашаемся.
7. Собственно после этого 2 раза из 2 все начало работать. И появилась возможность сделать логи для выкладывания на viruslist.
Так на будущее - может пригодится... Ход действий может быть опасным если IS приклеится к каким нить жизненно-важным файлам. У меня поток был приклеен к шрифту и к файлу справки...
Собственно теперь прошу помощи профессионалов в чистке остатков этой гадости по логам AVZ и HiJack.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA','');
QuarantineFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA','');
QuarantineFile('oociu.sys','');
DeleteFile('C:\WINDOWS\Help\display.chm:eB6DnTRYXuG:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\msadds32.ax:eB6DnTRYXuG:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + в дополнение сделайте лог Gmer
-
-
Карантин по красной ссылке закачал. Новые логи AVZ и HiJack прилагаю.
Gmer выдает ошибку. Запускается. Начинает проверять и спустя около 5-10 секунд выдает "Обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства..."
-
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('ajnndug');
BC_ServiceKill('apjebimf');
BC_ServiceKill('aqcytjh');
BC_ServiceKill('atruwzz');
BC_ServiceKill('bphzfhx');
BC_ServiceKill('dejkk');
BC_ServiceKill('dvinvngn');
BC_ServiceKill('gducmlwn');
BC_ServiceKill('hlicaxgce');
BC_ServiceKill('iezzcbp');
BC_ServiceKill('igcgh');
BC_ServiceKill('imgmaqe');
BC_ServiceKill('ivztm');
BC_ServiceKill('jaifaydi');
BC_ServiceKill('kklmhqsn');
BC_ServiceKill('knllag');
BC_ServiceKill('krmqkw');
BC_ServiceKill('kzflhxh');
BC_ServiceKill('ljtwagxch');
BC_ServiceKill('lldgast');
BC_ServiceKill('ltczfx');
BC_ServiceKill('mqcmunida');
BC_ServiceKill('nulgjgsuj');
BC_ServiceKill('ohpre');
BC_ServiceKill('oiidtq');
BC_ServiceKill('ongkwlex');
BC_ServiceKill('phuoqaoee');
BC_ServiceKill('qbmndnap');
BC_ServiceKill('quhths');
BC_ServiceKill('qvqxsudqx');
BC_ServiceKill('rhwxsxy');
BC_ServiceKill('snfcfl');
BC_ServiceKill('tkbgpcmnf');
BC_ServiceKill('ucnlceyfl');
BC_ServiceKill('ufvtuvhir');
BC_ServiceKill('upqkfvjlv');
BC_ServiceKill('vbzvxvw');
BC_ServiceKill('wdfrkr');
BC_ServiceKill('xprlzrmrv');
BC_ServiceKill('zfkxqg');
BC_ServiceKill('zpodf');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог по п.2 раздела Диагностика.
Попробуйте еще раз сделать лог gmer, только предварительно отключите антивирус.
I am not young enough to know everything...
-
-
Скрипт выполнил. Сделал новый лог прилагаю.
Gmer по прежнему начинает проверять. Вижу что удачно проверяет SYSTEM/CurrentControl....
Дальше зависает и вываливается та же ошибка. Касперского отключал и вообще закрывал все приложения....
-
Скрипт отработал хорошо.
Поищите на диске файл oociu.sys с помощью AVZ, если таковой найдется, добавьте его в карантин и пришлите по правилам.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\display.chm:eb6dntryxug:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )
- c:\windows\system32\dllcache\msadds32.ax:eb6dntryx ug:$data - Packed.Win32.Krap.w ( DrWEB: Trojan.Winlock.938, AVAST4: Win32:Malware-gen )
-