Пользователи стали жаловаться на частые зависания, тормоза и перезагрузки, в сети установлен Symantec 8 corporate, периодически находит всякие трояны и др, но не убивает. Мучаюсь недели две...
Помогите пожалуйста, логи прилагаю
Printable View
Пользователи стали жаловаться на частые зависания, тормоза и перезагрузки, в сети установлен Symantec 8 corporate, периодически находит всякие трояны и др, но не убивает. Мучаюсь недели две...
Помогите пожалуйста, логи прилагаю
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\msindeo.dll','');
QuarantineFile('c:\winnt\winlogon.exe','');
QuarantineFile('c:\winnt\system32\dllcache\vvvhost.exe','');
QuarantineFile('c:\winnt\systemza32.exe','');
QuarantineFile('c:\winnt\rundll32.exe','');
QuarantineFile('c:\winnt\system32\mdm.exe','');
DeleteFile('C:\WINNT\system32\msindeo.dll');
DeleteFile('c:\winnt\system32\mdm.exe');
DeleteFile('c:\winnt\rundll32.exe');
DeleteFile('c:\winnt\systemza32.exe');
DeleteFile('c:\winnt\system32\dllcache\vvvhost.exe');
DeleteFile('c:\winnt\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
новые логи
карантин выслан по правилам
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
[/code]
Выполните скрипт в AVZ в безопасном режиме:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\systemza32.exe');
DeleteFile('C:\WINNT\system32\dllcache\vvvhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Вот что было по классификации Касперского:
C:\WINNT\winlogon.exe - [b]Backdoor.Win32.IRCBot.ajc[/b]
c:\winnt\system32\dllcache\vvvhost.exe - [b]Backdoor.Win32.IRCBot.ais[/b]
c:\winnt\rundll32.exe - [b]Trojan.Win32.StartPage.aso[/b]
c:\winnt\system32\mdm.exe - [b]Trojan.Win32.Agent.buw[/b]
остальные два свеженькие, названия сообщу позже.
[size="1"][color="#666686"][B][I]Добавлено через 10 часов 5 минут[/I][/B][/color][/size]
msindeo.dll - [b]Trojan-Spy.Win32.Goldun.ry[/b]
systemza32.exe - [b]Backdoor.Win32.SdBot.ccn[/b]
вдогонку нужно выполнить скрипт, чтобы убить вражеские сервисы :
[code]
begin
BC_DeleteSvc('Background Intelligent Transfer Service mircosoft 32');
BC_DeleteSvc('Nicrosoft f11nt');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\rundll32.exe - [B]Trojan.Win32.StartPage.aso[/B] (DrWEB: Trojan.StartPage.20516)[*] c:\\winnt\\systemza32.exe - [B]Backdoor.Win32.SdBot.ccn[/B] (DrWEB: BackDoor.IRC.Sdbot.based)[*] c:\\winnt\\system32\\dllcache\\vvvhost.exe - [B]Backdoor.Win32.IRCBot.ais[/B] (DrWEB: Win32.HLLW.Zurenie)[*] c:\\winnt\\system32\\mdm.exe - [B]Trojan.Win32.Agent.buw[/B] (DrWEB: BackDoor.IRC.Sdbot.1631)[*] c:\\winnt\\system32\\msindeo.dll - [B]Trojan-Spy.Win32.Goldun.ry[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\winnt\\winlogon.exe - [B]Backdoor.Win32.IRCBot.ajc[/B] (DrWEB: Trojan.Starter.281)[/LIST][/LIST]