на ноутбуке пропал доступ в интернет, процессор загружен постояно на 30-50%
процесс csrss.exe грузит систему
[ATTACH]15774[/ATTACH]
[ATTACH]15775[/ATTACH]
[ATTACH]15776[/ATTACH]
заранее благодарен
Printable View
на ноутбуке пропал доступ в интернет, процессор загружен постояно на 30-50%
процесс csrss.exe грузит систему
[ATTACH]15774[/ATTACH]
[ATTACH]15775[/ATTACH]
[ATTACH]15776[/ATTACH]
заранее благодарен
1. [B]Отключите восстановление системы![/B]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\WINDOWS\msdnc4.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\msdnc4.exe');
DeleteFile('C:\WINDOWS\retadpu27.exe');
DeleteFile('C:\WINDOWS\system32\drivers\OLD1A.tmp');
DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\17.tmp ');
DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\18.tmp ');
DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\1C.tmp ');
DeleteFile('C:\Documents and Settings\123\Local Settings\Temp\1D.tmp ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Выполните еще один скрипт:
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Ixj56
', 'Start');
RebootWindows(true);
end.[/code]
Снова будет перезагрузка.
4. Пришлите карантин согласно приложению 3 правил.
5. Сделайте новые логи.
все сделал, вот логи
[ATTACH]15796[/ATTACH]
[ATTACH]15797[/ATTACH]
[ATTACH]15798[/ATTACH]
кстати компьтер теперь не загружен, работает вроде нормально
процесса iexplore.exe больше не видно
Поищите с помощью AVZ файл Ixj56.sys,
если найдется - пришлите по правилам (см. приложение 2).
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\123\LOCALS~1\Temp\winlogon.exe
O20 - Winlogon Notify: botreg - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('Ixj56');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте еще раз логи для контроля.
файл прислать не могу так как он пишет следующее
[I]Ошибка карантина файла "Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\Ixj56.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка[/I]
остально проделал, вот логи
[ATTACH]15816[/ATTACH]
[ATTACH]15817[/ATTACH]
[ATTACH]15818[/ATTACH]
В логах все нормально.
А этот Ixj56.sys надо было искать в AVZ через "Сервис" - "Поиск файлов на диске", в поле "Имя файла или маска" ввести Ixj56.sys, нажать Пуск. Потом найденый файл в карантин, архивировать и т.д.
Попробуйте еще раз, уж очень интересный зверек, надо бы образец получить.
закачал
Оказывается, он уже детектируется Касперским:
[B]Rootkit.Win32.Agent.ea[/B].
Но все равно, спасибо за содействие.
Для окончательной очистки выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Ixj56.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Будет перезагрузка.
Теперь у вас все ОК.
Касперский и Symantec его опознавали удаляли но это не особо помогало, хотя базы были обновлены.
Так что без вас врятли бы всправился. Очень признателен.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\bot.dll - [B]Trojan-Proxy.Win32.Xorpix.ar[/B] (DrWEB: BackDoor.Bech)[*] c:\\documents and settings\\123\\local settings\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Puma.gp[/B] (DrWEB: Trojan.Packed.147)[*] c:\\windows\\msdnc4.exe - [B]Trojan-Spy.Win32.Webmoner.ci[/B] (DrWEB: Trojan.Packed.166)[*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Rootkit.Win32.Agent.dp[/B] (DrWEB: Trojan.NtRootKit.319)[*] c:\\windows\\system32\\drivers\\ixj56.sys - [B]Rootkit.Win32.Agent.ea[/B] (DrWEB: Trojan.Spambot.2400)[/LIST][/LIST]