Собственно, ситуация стандартная, массовое заражение, комп постоянно перегружается, в сейф-моде авз полечил, и стал загружаться, но думаю осталось много гадостей...
Прошу помочь...
Printable View
Собственно, ситуация стандартная, массовое заражение, комп постоянно перегружается, в сейф-моде авз полечил, и стал загружаться, но думаю осталось много гадостей...
Прошу помочь...
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Quarantinefile('C:\WINDOWS\system32\y3.dll ','');
QuarantineFile('C:\Program Files\SEYCHAS\liganews.exe','');
QuarantineFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('c:\program files\handycache2007\handycache.exe','');
QuarantineFile('c:\install\winsent.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\K1EF09MN\msntsrv[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89ARSL6V\windin2[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\6.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\38.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\3.tmp');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12734[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]
Я точно знаю, что это за файлы:
handycache.exe
winsent.exe
winlogon.exe
liganews.exe
это не вирусы...
---
Что же касается winlogon.exe, то он переписан с дистрибутива.
---
а вот arm32.dll неизвестный
пришлю
[QUOTE=SonarMaster;137607]Я точно знаю, что это за файлы[/QUOTE]
А мы нет... поделитесь оными с нами, Вам жалко?
ps Доктор, не надо выдирать зубик... пусть он сгнил и осыпался, но он мой... (навеяло)
ну может и поделюсь, хотя хэнди - это программа для кеширования и экономии трафика, винсент - отсылка сообщений по локалке, лиганьюз - новостная программа о законодательстве, ну, а про логон уже писал )
[QUOTE=SonarMaster;137614]ну может и поделюсь...[/QUOTE]
ну может Вам кто то и поможет... потом... если хорошо попросите... (с) из кино ;-)
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Из присланного:
C:\WINDOWS\system32\y3.dll
C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
[CODE] Scan taken on 25 Sep 2007 09:31:01 (GMT)
A-Squared Found Trojan.Win32.Agent.aph
AntiVir Found TR/Crypt.XDR.Gen, TR/Crypt.XPACK.Gen, BDS/VB.aya.396
ArcaVir Found Trojan.Agent.Aph
Avast Found Win32:Agent-JWJ, Win32:Xorpix-U, Win32:Agent-JYV
AVG Antivirus Found nothing
BitDefender Found Generic.Srizbi.75408276, Trojan.Agent.APH
ClamAV Found PUA.Packed.UPack
CPsecure Found nothing
Dr.Web Found Trojan.MulDrop.8732, BackDoor.Bech, Trojan.Sespy
F-Prot Antivirus Found W32/Dropper.gen6, W32/Agent.DNA
F-Secure Anti-Virus Found Rootkit.Win32.Agent.ea, Trojan-Proxy.Win32.Xorpix.bs, Trojan.Win32.Agent.aph
Fortinet Found W32/Agent.EA!tr.rkit
Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ea, Trojan-Proxy.Win32.Xorpix.bs, Trojan.Win32.Agent.aph
NOD32 Found nothing
Norman Virus Control Found W32/Suspicious_U.gen, W32/Agent.CBHT
Panda Antivirus Found Trj/Downloader.MDW, Trj/Agent.GDY
Rising Antivirus Found Trojan.Win32.Agent.wbh
Sophos Antivirus Found Mal/Generic-A, Mal/Packer, Mal/Heuri-E
VirusBuster Found nothing
VBA32 Found Rootkit.Win32.Agent.ea, Trojan.Win32.Agent.aph [/CODE]
и как с этим бороться?
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_QrFile('c:\windows\system32\winlogon.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe');
DeleteFile('C:\WINDOWS\system32\y3.dll');
BC_DeleteFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe');
BC_DeleteFile('C:\WINDOWS\system32\y3.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите карантин и сделайте новые логи. Первый скрипт выполнили без изменений, или правили? Поясню про запрос файлов: winlogon.exe в ваших первых логах - не проходит проверку по базе безопасных файлов, хотя и должен. Дата изменения - 13.09.2007 - очень подозрительна. Потому его так настойчиво и прошу прислать. Остальные, если подозрения не подтвердятся, могут пополнить [url=http://virusinfo.info/showthread.php?t=3519]базу безопасных файлов[/url], так что лишними не будут.
хорошо пришлю, а 13 числа это я его сам переписывал с дистрибутива
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Quarantinefile('C:\WINDOWS\system32\y3.dll ','');
QuarantineFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\K1EF09MN\msntsrv[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89ARSL6V\windin2[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\6.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\38.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\3.tmp');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Такой выполнил тогда, убрав строки с теми файлами в которых уверен на 100 процентов.
[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]
Выполнил скрипт указанный в 14:32, логи цепляю, карантин шлю
Присланный c:\windows\system32\winlogon.exe
[CODE] Scan taken on 25 Sep 2007 13:06:56 (GMT)
A-Squared Found nothing
AntiVir Found TR/Drop.Mudrop.EE.13
ArcaVir Found nothing
Avast Found Win32:Patched-BE
AVG Antivirus Found Win32/PEPatch.Y
BitDefender Found Trojan.WLPatch.A
ClamAV Found Trojan.Agent-4376
CPsecure Found Troj.W32.Patched.Q
Dr.Web Found Trojan.Starter.212
F-Prot Antivirus Found W32/Libload.A
F-Secure Anti-Virus Found Trojan.Win32.Patched.q
Fortinet Found W32/WLHack.C!tr
Kaspersky Anti-Virus Found Trojan.Win32.Patched.q
NOD32 Found nothing
Norman Virus Control Found W32/Agent.BMQP
Panda Antivirus Found W32/Patchlog.C
Rising Antivirus Found nothing
Sophos Antivirus Found Troj/WLHack-C
VirusBuster Found nothing
VBA32 Found Trojan.Win32.Patched.q [/CODE]
Да уж...
По карантину: c:\windows\system32\winlogon.exe - Trojan.Win32.Patched.q (по Касперскому), Trojan.Starter.212 (По DrWeb). Cureit! его лечит. Раз вы такой недоверчивый, качайте Cureit! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] и проверяйте систему, желательно, загрузившись [url=http://virusinfo.info/showthread.php?t=9279]в безопасном режиме[/url].
уже качаю куреит
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
полечил куреитом, при повторном сканировании уже в обычном режиме, куреит ничего не сказал... надеюсь, что это таки победа )
Ну, будем надеяться... А для уверенности, хорошо бы логи повторить, начиная с п. 10 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - [B]Trojan-Proxy.Win32.Xorpix.bs[/B] (DrWEB: BackDoor.Bech)[*] c:\\program files\\handycache2007\\cache\\58.65.235.121\\windin2.exe - [B]Rootkit.Win32.Agent.ea[/B] (DrWEB: Trojan.Packed.560)[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.q[/B] (DrWEB: Trojan.Starter.212)[*] c:\\windows\\system32\\y3.dll - [B]Trojan.Win32.Agent.aph[/B] (DrWEB: Trojan.Sespy)[/LIST][/LIST]