Помогите! Вирусы!

Printable View

03.10.2007, 12:55
Z1000000

Вложений: 3

Помогите! Вирусы!

Произошло нашествие вирусов.
Отвалилась сеть.
Сильно тормозит.
Часть почистил CureIt

Помогите довести дело до конца ! Вирусов :)
03.10.2007, 13:10
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('bt848rom.dll','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
QuarantineFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe');
BC_DeleteFile('c:\docume~1\kozlovaa\locals~1\temp\winlogon.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
BC_DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки загрузить карантин через ссылку вверху темы.
Затем второй скрипт:
[CODE]
begin
ExecuteRepair(11);
end.
[/CODE]

Сделать новые логи.
03.10.2007, 13:53
Z1000000

Вложений: 3

Все сделал.
Карантин закачал.
ExecuteRepair ( 11 ) выполнил.
Новые логи.

Пока изменений нет. Сеть недоступна.
ipconfig пишет : внутренняя ошибка.

При загрузке Windows XP долго думает между логином и появлением рабочего стола.

Жду дальнейших инструкций.
03.10.2007, 14:26
PavelA

Таскманагер ожил?
Для сетки скачай winsockxpfix с [url]www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]
, но пока не запускай.
Профиксить в hijackthis:
[CODE]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: bt848rom - bt848rom.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
[/CODE]

Выполнить скрипт в защищенном режиме:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\STLHR\stlhr32.exe','');
QuarantineFile('Xit36.sys','');
BC_DeleteSvc('msupdate');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
03.10.2007, 14:40
Bratez

В дополнение к вышесказанному выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\Xit36.sys','');
DeleteFile('C:\Windows\system32\drivers\Xit36.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
03.10.2007, 15:17
Z1000000

Диспетчер задач открывается и раньше открывался :)
Все пофиксил.
WinSockFix скачал.
Оба скрипта выполнил.
Карантин закачал.

Новые логи ?
03.10.2007, 15:28
Bratez

Xit36.sys - [b]Rootkit.Win32.Agent.jc[/b]
stlhr32.exe - чистый.
Да, логи сделайте для контроля.
03.10.2007, 15:44
PavelA

Наборчик из первого карантина:
[b]Trojan-Dropper.Win32.Mudrop.eu, Trojan.Win32.Inject.ga, Trojan-Downloader.Win32.Tibs.oc[/b]
03.10.2007, 15:58
Z1000000

Вложений: 3

Логи сделал.
Можно воспользоваться WinSockFix ?
03.10.2007, 16:17
Bratez

Больше ничего подозрительного нет, теперь самое время для WinSockFix. Только предварительно запишите все настройки сетевых подключений, т.к. они будут сброшены.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

И в завершение - список потенциальных уязвимостей:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
[/code]
Скажите, что из этого нужно, остальное отключим.
03.10.2007, 16:43
Z1000000

[quote=Bratez;139462]Больше ничего подозрительного нет, теперь самое время для WinSockFix.
[/quote]

Не помогло. УВЫ :(
ipconfig выдает :
C:\Documents and Settings\KozlovaA>ipconfig
Настройка протокола IP для Windows
Произошла внутренняя ошибка: Такой запрос не поддерживается.
Дополнительные сведения: не удалось запросить имя узла.

При загрузке Windows XP между логином и загрузкой рабочего стола по-прежднему зависает на 2 минуты ( винтом не дрыгает, Машинка 3ГГц, 2Гб , в общем быстрая ).

При логине когда нажимаешь Ctrl+Alt+Del Выскакивает окно с неактивным Memo-полем и кнопкой "Ок". В мемо-поле и заголовке окна - мусор ( крякозяблы ).

Что-нибудь еще может помочь ?

[quote=Bratez;139462]
[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]

И в завершение - список потенциальных уязвимостей:
Скажите, что из этого нужно, остальное отключим.[/quote]

Ничего из этого списка не нужно. Если , что-то будет нужно , потом включу.
03.10.2007, 16:56
Bratez

Можно еще попробовать в AVZ Файл - Восстановление системы - п.18.
Если не поможет, наверно придется заливать винду поверх вашей "восстановлением".
03.10.2007, 17:04
PavelA

Покопай gpedit полиси и стартовые скрипты.
Долгий старт - что-то из Автозапуска мучается при старте.
Не лишним будет лог событий проанализировать.

Еще все сетевые диски пока отключи, все равно сетка недоступна.
Из-за большого количества их и принтеров м.б. задержка.
03.10.2007, 17:09
Bratez

[quote]Долгий старт - что-то из Автозапуска мучается при старте.[/quote]
Скорее всего что-то из системных служб, прямо или косвенно связанное с сетью, возможно RPC или Workstation.
04.10.2007, 10:09
Z1000000

Помогло только восстановление Windows XP

Теперь все путем !
Только сожрали вирусы-гады из меню "Пуск" половину ярлыков на проги.

Всем спасибо !
04.10.2007, 10:13
PavelA

[QUOTE=Z1000000;139613]
Теперь все путем !
Только сожрали вирусы-гады из меню "Пуск" половину ярлыков на проги.

Всем спасибо ![/QUOTE]
Это не вирусы. Скорее всего сбой в профайле пользователя.
22.02.2009, 02:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\kozlovaa\\local settings\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Mudrop.eu[/B] (DrWEB: Trojan.Spambot.2384)[*] c:\\docume~1\\kozlovaa\\locals~1\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Mudrop.eu[/B] (DrWEB: Trojan.Spambot.2384)[*] c:\\windows\\system32\\drivers\\xit36.sys - [B]Rootkit.Win32.Agent.jc[/B] (DrWEB: Trojan.NtRootKit.405)[*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan.Win32.Inject.ga[/B] (DrWEB: Trojan.DownLoader.34860)[*] c:\\windows\\system32\\vedxg6ame4.exe - [B]Trojan-Downloader.Win32.Tibs.oc[/B] (DrWEB: Trojan.Packed.142)[/LIST][/LIST]