-
Junior Member
- Вес репутации
- 51
Вирус
Вирус «тормозит» загрузку интернет страниц(решается перезагрузкой), модифицирует ctfmon и отключает русскую раскладку, добавляет чего-то в автозагрузку в том числе запускает при входе в widows msconfig, постоянно дописывает чего-то в корзины на дисках(если я удаляю в ручную) и system32, постоянно сбрасывает галку «показывать скрытые и системные файлы», на некоторых папках во вкладке безопасность какой-то левый пользователь с длинным именем похожим на название файла(что-то вроде S-1-5-21-0741203276-5174745523-898393899-903, который периодически создается в корзине, вырубает AVZ, HijackThis, ProcessExplorer(решается переименование фалов), создает на флешке autorun и еще какую-то папку. Полная проверка Symantec в безопасном режиме ничего не дала, пару раз Symantec отлавливал вот это:
Discovered: September 29, 2009
Updated: September 30, 2009 8:32:32 AM
Also Known As: W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
Type: Worm
Infection Length: 109,056 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
When executed, the worm copies itself as the following file:
%SystemDrive%\RECYCLER\[SID]\sysdate.exe
It also creates the following file:
%SystemDrive%\RECYCLER\[SID]\Desktop.ini
Note: [SID] is a Security Identifier (SID) similar to the following example:
S-1-5-21-0741203276-5174745523-898393899-9038
It then creates the following registry entry so that it runs every time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Taskman" = "%SystemDrive%\RECYCLER\[SID]\sysdate.exe"
Dr web cure it ничего не нашел, но правда в обычном режиме. Да еще вирус правил файл hosts пока не задал атрибут только чтение.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
QuarantineFile('C:\Feast\Ival\Feast.exe','');
QuarantineFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\pxkbf.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\hsipcidr.sys','');
QuarantineFile('c:\windows\system32\wmpxt1.exe','');
DelCLSID('67MAD6M8-1MAD-81AD-MAD6-32OP5G1234521');
DelCLSID('67KLN5K0-4OPM-00WE-AAX8-17EF1D187263');
DeleteService('naecd');
DeleteFile('c:\windows\system32\wmpxt1.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\naecd.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('C:\GraviTy\V-6-7-22-333333EEEE-444444444444-88888888888-220\Trx.exe');
DeleteFile('C:\Feast\Ival\Feast.exe');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
Когда сохранял из браузера код скрипта, заметил такую вещь, если открывать текстовой файл блокнотом, то windows сначала выдает сообщение, что такой не может найти файл с таким путем, а затем все равно открывает, если открывать тот же файл, например, c помощью ultraedit, то такого сообщения не появляется.
-
Больше зловредного не вижу.
Очистите временные папки интернета.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.
-
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
Снова проявился вирус. Symantec ругнулся, удалил файл с расширением jpg и сказал что для полного удаления нужно перегрузиться, перегрузился. Вирус отключил русскую раскладку, но symantec ее восстановил, правда, без языковой панели. Вирус отключил видимость скрытых файлов и папок, в корзине опять лежит диспетчер задач для подмены, в temp windows появился файл tmp1.exe, в system32 исполняемые файлы, похожие на те, что вчера удаляли скриптом.(wmpx.exe - как-то так, точно сказать не могу т.к. после перезагрузки из-за symantec, они исчезли)
-
Сообщение от
oleg_v_
Снова проявился вирус.
так Вам же написали что сделать
Сообщение от
DefesT
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\System32\drivers\pxrts.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
TerminateProcessByName('c:\windows\system32\wmpxt1.exe');
DeleteFile('c:\windows\system32\wmpxt1.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','games');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
Плохого не видно. Обновляйте систему, а то опять заразу схватите!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\eomemmk7\2j[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.504 )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\gr0g5z16\ed[1].zip - Packed.Win32.Krap.hf
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\dp[1].zip - Packed.Win32.Krap.hf
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\h7[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.504 )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\s9mzodif\kd[1].zip - Packed.Win32.Krap.hf ( DrWEB: Win32.HLLW.Lime.8 )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\debug[1].zip - Packed.Win32.Krap.hf ( BitDefender: Trojan.Generic.KD.17840 )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\jp[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\881i1dgj\qt[1].zip - Packed.Win32.Krap.hf ( DrWEB: BackDoor.IRC.Bot.503, BitDefender: Trojan.Generic.KD.17438, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1451\games.exe - Trojan.Win32.Buzus.eozn ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Agent.APXW, AVAST4: Win32:Trojan-gen )
- c:\windows\system32\wmpxt1.exe - Packed.Win32.Krap.hf
-