Показано с 1 по 8 из 8.

Очередной Rootkit (заявка № 78880)

  1. #1
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    14
    Вес репутации
    25

    Thumbs up Очередной Rootkit

    Удалось сделать только лог GMER и лог AVZ Syschek.
    В безопасном режиме комп не грузится. Пытался написать сам скрипт для AVZ, но после его выполнения после загрузки винды в момент выбора пользователя появляется экран смерти. Грузится только с последней рабочей конфигурацией.
    Помогите, пожалуйста.
    GMER.log
    virusinfo_syscheck.zip

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winupd01.exe');
     QuarantineFile('advpack.dll','');
     QuarantineFile('C:\RELEASE\DEBUG\ghx.exe','');
     QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
     QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
     DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
     QuarantineFile('C:\windows\System32\Drivers\sytpwncl.sys','');
     QuarantineFile('C:\windows\system32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecty.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectt.sys','');
     QuarantineFile('C:\windows\System32\DRIVERS\protectr.sys','');
     QuarantineFile('C:\windows\System32\DRIVERS\protectq.sys','');
     QuarantineFile('C:\windows\System32\DRIVERS\protectj.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecti.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectd.sys','');
     QuarantineFile('C:\windows\System32\DRIVERS\protecta.sys','');
     QuarantineFile('c:\windows\system32\winupd01.exe','');
     SetServiceStart('protecty', 4);
     SetServiceStart('protectt', 4);
     SetServiceStart('protectr', 4);
     SetServiceStart('protectq', 4);
     SetServiceStart('protectj', 4);
     SetServiceStart('protecti', 4);
     SetServiceStart('protectd', 4);
     SetServiceStart('protecta', 4);
     DeleteService('protecty');
     DeleteService('protectt');
     DeleteService('protectr');
     DeleteService('protectq');
     DeleteService('protectj');
     DeleteService('protecti');
     DeleteService('protectd');
     DeleteService('protecta');
     DeleteService('protect');
     DeleteService('sytpwncl');
    DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144');
    DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
    DelCLSID('67KLN5K0-4OPM-00WE-AAX5-27EF1D187263');
     DeleteFile('c:\windows\system32\winupd01.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\windows\System32\DRIVERS\protecta.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\protectd.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\protecti.sys');
     DeleteFile('C:\windows\System32\DRIVERS\protectj.sys');
     DeleteFile('C:\windows\System32\DRIVERS\protectq.sys');
     DeleteFile('C:\windows\System32\DRIVERS\protectr.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\protectt.sys');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\protecty.sys');
     DeleteFile('C:\windows\System32\Drivers\sytpwncl.sys');
     DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
     DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
     DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
     DeleteFile('C:\RELEASE\DEBUG\ghx.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('sytpwncl');
    BC_Activate;
    ExecuteRepair(9);
    ExecuteRepair(10);
    ExecuteRepair(13);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    14
    Вес репутации
    25

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc70.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc76.exe');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\zycafala.exe');
     DeleteFile('C:\WINDOWS\system32\csrcs.exe');
     DeleteFile('C:\windows\services.exe ');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('yaai14y2w7a');
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    14
    Вес репутации
    25
    Прикрепляю новые логи.
    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    Плохого не видно, что с проблемой?
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Обновите Adobe Reader. Также рекомендую скачать и просканировать системный диск AVPTool'ом. Возможно будут найдены остаточные вирусы.

  8. #7
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    14
    Вес репутации
    25
    Огромное спасибо. Проблем не осталось. Выполню все рекомендации.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,534
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 51
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\пользователь\application data\microsoft\doozudopood.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      2. c:\documents and settings\пользователь\application data\microsoft\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      3. c:\documents and settings\пользователь\application data\microsoft\zycafala.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      4. c:\documents and settings\пользователь\application data\oabws.exe - Net-Worm.Win32.Kolab.ijs ( DrWEB: Trojan.MulDrop1.20039, BitDefender: Worm.Generic.242380, AVAST4: Win32:Malware-gen )
      5. c:\documents and settings\пользователь\btga.exe - Backdoor.Win32.Cetorp.ib ( DrWEB: BackDoor.Tofsee, AVAST4: Win32:Malware-gen )
      6. c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc70.exe - not-a-virus:Monitor.Win32.KGBSpy.jw ( AVAST4: Win32:Spambot-EL [Trj] )
      7. c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc76.exe - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
      8. c:\windows\explorer.exe:userini.exe:$data - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
      9. c:\windows\services.exe - Email-Worm.Win32.Joleee.eum ( DrWEB: Trojan.Spambot.3531, BitDefender: Trojan.Generic.3946020, NOD32: Win32/TrojanProxy.Small.NCA trojan, AVAST4: Win32:Bredolab-DH [Trj] )
      10. c:\windows\system32\drivers\protecta.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      11. c:\windows\system32\drivers\protectd.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      12. c:\windows\system32\drivers\protecti.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      13. c:\windows\system32\drivers\protectj.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      14. c:\windows\system32\drivers\protectq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      15. c:\windows\system32\drivers\protectr.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      16. c:\windows\system32\drivers\protectt.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      17. c:\windows\system32\drivers\protecty.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
      18. c:\windows\system32\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
      19. c:\windows\system32\userini.exe - Packed.Win32.Krap.gy ( AVAST4: Win32:Spambot-EL [Trj] )
      20. c:\windows\system32\winupd01.exe - Net-Worm.Win32.Kolab.hug ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.VB.Agent.FC, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Eone87, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Очередной Internet.com
      От Cemper в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2011, 03:20
    2. очередной internet.com
      От Друг Степей в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.11.2011, 22:02
    3. Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?
      От Romik_lv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.09.2011, 20:34
    4. очередной раз про synsenddrv.sys
      От Boom в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:29
    5. Rootkit that bypasses Anti-Rootkit Software
      От Simple10 в разделе Viruses, Adware, Spyware, Hijackers
      Ответов: 3
      Последнее сообщение: 22.02.2008, 07:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00556 seconds with 21 queries