Printable View
Переодически самопроизвольно пегружется комп, avz определил в процессах наличие koos.exe и poof, которые являются вирусами. в system32 этих файлов обнаружить не удалось.
В корзине постояннно появляется файл DC(цифры).exe (пр. DC246, DC247...)нулевого размера и куча Dc(цифры).tmp различного размера.
Также создаются папки с таким же именем и содержат одни и те же файлы:
Ky5s96SF.csa
~de1a55.tmp
~df394b.tmp
~efe2.tmp
Вот не знаю что делать.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svcx.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Nseorhs.dll','');
QuarantineFile('C:\1.bat','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vmek37.sys','');
QuarantineFile('C:\WINDOWS\system32\koos.exe','');
DeleteFile('C:\WINDOWS\system32\koos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Vmek37.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportALL;
BC_DeleteSvc('poof');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_DeleteSvc('NtmsSvcTapiSrv');
BC_DeleteFile('C:\WINDOWS\system32\poof');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Пофиксил строки в HijackThis. Перегрузил комп, скачал новый AVZ, обновил его, запустил приведенный выше скрипт для avz, перегрузился.
Когда пытался выполнить стандартный скрипт avz (лечение/карантин) то машина перегружается (5 раз пробовал). Скрипт сбора информации выполнился с первого раза.
И когда запустил avz на проверку, то проблемма с koos и poof осталась.
p.s. Карантин пуст
выполните скрипт...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Vmek37','Start');
RebootWindows(true);
end.
[/code]
после перезагрузки еще один....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\6to4svcx.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Nseorhs.dll','');
QuarantineFile('C:\1.bat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Vmek37.sys','');
QuarantineFile('C:\WINDOWS\system32\koos.exe','');
QuarantineFile('Nseorhs.dll','')
DeleteFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteFile('C:\WINDOWS\system32\koos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Vmek37.sys');
DeleteFile('C:\WINDOWS\system32\poof');
BC_ImportALL;
BC_DeleteSvc('poof');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_DeleteSvc('Vmek37');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Второй скрипт выполнял в безопасном режиме, в обычном машина пергружалась сразу после запуска.
файл avz_sysinfo_mode.zip сделав в безопасном режиме как написано [URL]http://virusinfo.info/showthread.php?t=10387[/URL]
в папке avz есть еще папка Infected с dat и ini файлами, их нужно прикрепить?
p.s. карантин загрузил
Nseorhs.dll - [b]Trojan-PSW.Win32.LdPinch.dvz[/b]
Vmek37.sys - [b]Rootkit.Win32.Agent.kb[/b] (уже удален)
koos.exe - [b]Trojan-Proxy.Win32.Wopla.ag[/b] (тоже удален)
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\system32\Nseorhs.dll');
BC_ImportDeletedList;
BC_DeleteSvc('NtmsSvcTapiSrv');
BC_DeleteSvc('kprof');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis (если останется):
[code]O20 - Winlogon Notify: Nseorhs - C:\WINDOWS\SYSTEM32\Nseorhs.dll[/code]
Посмотрите, что из этого нужно / не нужно:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Всем спасибо за помощь, все получилось. :)
1. Сделайте еще раз комплект логов для контроля.
2. Поскольку был пинч, надо поменять все пароли, вероятно они уже известны не только вам.
Логи для конроля проверьте пожалуйста.
Кстати может кто подскажет, у меня почему то перестали отображаться виртуальные хосты которые в Апаче прописаны. Из-за подцепленной заразы может это быть?
[quote]C:\Program Files\Borland\Delphi7\Projects\tj\kub\Project1.exe >>> подозрение на not-virus:BadJoke.Win32.CrazyMouse.a[/quote]
А-а! Так вот кто написал CrazyMouse!! ;) ;)
Логи чистые.
Насчет Апача - честно, не знаю.
Блин спалился :)
Спасибо за помощь и участие.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\vmek37.sys - [B]Trojan.Win32.Srizbi.gt[/B] (DrWEB: Trojan.NtRootKit.414)[*] c:\\windows\\system32\\koos.exe - [B]Trojan-Proxy.Win32.Wopla.ag[/B] (DrWEB: Trojan.Sklog)[*] c:\\windows\\system32\\nseorhs.dll - [B]Trojan-PSW.Win32.LdPinch.dvz[/B] (DrWEB: Trojan.Inject.398)[*] \\quarantine\\2007-10-23\\bcqr00003.dta - [B]Trojan-PSW.Win32.LdPinch.dvz[/B] (DrWEB: Trojan.Inject.398)[*] \\quarantine\\2007-10-23\\bcqr00004.dta - [B]Trojan-PSW.Win32.LdPinch.dvz[/B] (DrWEB: Trojan.Inject.398)[/LIST][/LIST]