Printable View
Блокируют AVZ. Т.е. avz.exe не запускается. Переименовал - запустилось. Однако анти-руткит модуль все-равно не работает:
Ошибка в работе антируткита [Stream read error], шаг [14]
Пока почистил немого то, что получилось (frmwrk.exe, multilex.exe).
UPD: После удаления этих файлов стал запускаться AVZ из родного exe, антирут-кит заработал вроде. Завтра подчищу думаю сам до конца раз такая пьянка. Карантин сюда слать или так разослать на vendors+z-oleg?
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\NTOSKRNL.EXE','');
QuarantineFile('C:\WINNT\system32\frmwrk.exe','');
QuarantineFile('C:\DOCUME~1\SEKRET~1\LOCALS~1\Temp\qxCn5i5K.sys','');
QuarantineFile('C:\WINNT\system32\frmwrk.sys','');
DeleteFile('C:\WINNT\system32\frmwrk.sys');
DeleteFile('C:\DOCUME~1\SEKRET~1\LOCALS~1\Temp\qxCn5i5K.sys');
DeleteFile('C:\WINNT\system32\frmwrk.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
+ дополнительный лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Файл сохранён как 071112_232054_virus_47393436bae15.zip
Впринципе оттуда только 1 файл (frmwrk.exe) как вирус определяется на virustotal.com:
AhnLab-V3 2007.11.13.0 2007.11.13 -
AntiVir 7.6.0.34 2007.11.13 WORM/Zhelatin.Gen
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.12 -
AVG 7.5.0.503 2007.11.12 Downloader.Tibs.8.D
BitDefender 7.2 2007.11.13 Trojan.Downloader.Tibs.GYA
CAT-QuickHeal 9.00 2007.11.12 -
ClamAV 0.91.2 2007.11.12 -
DrWeb 4.44.0.09170 2007.11.12 -
eSafe 7.0.15.0 2007.11.08 Suspicious File
eTrust-Vet 31.2.5290 2007.11.12 -
Ewido 4.0 2007.11.12 -
FileAdvisor 1 2007.11.13 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 -
F-Secure 6.70.13030.0 2007.11.13 Packed.Win32.Tibs.dk
Ikarus T3.1.1.12 2007.11.13 Packed.Win32.Tibs.dk
Kaspersky 7.0.0.125 2007.11.13 Packed.Win32.Tibs.dk
McAfee 5161 2007.11.12 -
Microsoft 1.3007 2007.11.12 VirTool:WinNT/Tibs.gen!A
NOD32v2 2654 2007.11.13 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.11.12 -
Panda 9.0.0.4 2007.11.13 -
Prevx1 V2 2007.11.13 Malware.Gen
Rising 20.18.02.00 2007.11.12 -
Sophos 4.23.0 2007.11.13 -
Sunbelt 2.2.907.0 2007.11.13 VIPRE.Suspicious
Symantec 10 2007.11.13 -
TheHacker 6.2.9.124 2007.11.13 -
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.12 -
Webwasher-Gateway 6.0.1 2007.11.13 Worm.Zhelatin.Gen
После лечения из AVZ не включается "Просмотр карантина". Пишет StatusBar: Out of resources. Сейчас сделаю новые логи.
Все, дофиксил, восстановление системы все долечило. В корне c:\ нашел также тело вируса syseciu.exe, под md5 идентичен frmwrk.exe, он запущен не был, просто на винте лежал, но мало антивирусников о нем знают. Сэмпл я отправил на [email][email protected][/email] и Олегу Зайцеву.
Что из этого нужно ?
[CODE]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/CODE]
Все нужно :)
У Вас два антивируса: Нортон и Касперский. Надо оставить одного, того, что с лицензией.
Касперский к тому же устаревший, актуальная версия 7.0.0.125.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\orl\\vnc\\vnchooks.dll - [B]not-a-virus:RemoteAdmin.Win32.WinVNC.1370[/B][*] c:\\winnt\\system32\\frmwrk.exe - [B]Packed.Win32.Tibs.dk[/B] (DrWEB: Trojan.DownLoader.19256)[/LIST][/LIST]