подлый троян((

Printable View

01.11.2007, 20:04
Кос

Вложений: 3

подлый троян((

Здравствуйте.
Проблема в следующем-завелся хорошо знакомый вам троянец,который создает startdrv.exe в папке temp винды,также фигурирует ip6fw.sys и треклятый runtime.sys....пытался искоренить сам-не вышло...опыта маловато:'-(.Подсобите братцы)
заранее признателен
01.11.2007, 20:22
drongo

1.Пофиксить hijackthis:
[code]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [C:\WINDOWS\svchost.exe ] C:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\ִמךףלוםע\Settings\arm32.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
[/code]

2. Выполнить скрипт в авз [code]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ntndis.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\augmla9y.SYS','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(13);
RebootWindows(true);
end.[/code]После перезагрузки загрузить карантин.

Сделать новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Я уже написал более широкий вариант , прости Павел, не заметил. Жалко стирать ;)
01.11.2007, 21:28
Кос

извините,а что значит загрузить карантин?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

вы имеете в виду прислать вам то,что у меня в карантине?
01.11.2007, 21:32
V_Bond

приложение 2 пункт 8 правил ..
01.11.2007, 21:43
Кос

Вложений: 3

а вот и логи...карантин уже выслал
01.11.2007, 22:03
V_Bond

пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\a rm32.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите лог HijackThis
01.11.2007, 22:39
Кос

Вложений: 1

сделал...присылаю лог хайджека
01.11.2007, 22:45
V_Bond

в логах чисто ...
какие-то проблемы остались ?
01.11.2007, 22:47
drongo

Да вроде всё ;)
Можно открывать шампанское ;)
Отключать не нужное и обычный совет, но эффективный чтобы не ловить новых зверей:

[code]Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

[/code]
01.11.2007, 23:20
Кос

Премного благодарен вам))
огромнейшее спасибо,вы молодцы:D
знаете свое дело...
обязательно помогу вам в сборе файлов чем смогу!
удачи)

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

virusinfo_files_75715F6B4F684CD.zip
закачался уже к вам
еще раз пасиб:)
22.02.2009, 02:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Backdoor.Win32.SdBot.asy[/B] (DrWEB: BackDoor.IRC.Evil)[*] c:\\windows\\system32\\drivers\\ntndis.exe - [B]Backdoor.Win32.SdBot.asy[/B] (DrWEB: BackDoor.IRC.Evil)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2363)[/LIST][/LIST]