Printable View
Пришла от подруги ссылка на открытку, кликнул и понеслась...
Теперь с моей аси наверное тоже ссылки идут всем контактам.
Симантек ловит постоянно [EMAIL="w32.stration.CM@mm"]w32.stration.CM@mm[/EMAIL] в разных файлах.
Логи прилагаю согласно правилам.
Заранее спасибо.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\lich.sys','');
QuarantineFile('C:\WINDOWS\System32\fpwprich.exe','');
QuarantineFile('C:\WINDOWS\system32\fpwprich.dll','');
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
DeleteFile('C:\lich.sys');
DeleteFile('C:\WINDOWS\system32\lich.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сорри, что запостил сюда. Отправил как положено только без пароля...в правилах не написано, а потом уже поздно было) Переслать?
Уберите карантин из сообщения.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fpwprich.dll');
DeleteFile('C:\WINDOWS\System32\fpwprich.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Это был [b]Email-Worm.Win32.Warezov[/b] aka [b]Stration[/b].
Новые логи.
Симантек вырубил перед логами, но все равно служба проверки чего то находит..
Наверное глагол "был" еще рано употреблять :(
пофиксите ...
[code]
O20 - AppInit_DLLs: e1.dll kbdgmqqm.dll efjtx0jc.dll
O20 - Winlogon Notify: fpwprich - C:\WINDOWS\
O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\system32\vdmdracp.dll
[/code]
віполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vdmdracp.dll','');
QuarantineFile('C:\WINDOWS\system32\efjtx0jc.dll','');
QuarantineFile('C:\WINDOWS\System32\vdmdracp.exe','');
QuarantineFile('C:\WINDOWS\System32\efjtx0jc.dll','');
DeleteFile('C:\WINDOWS\system32\i2ie4m4w1m.exe');
DeleteFile('C:\WINDOWS\System32\efjtx0jc.dll');
DeleteFile('C:\WINDOWS\System32\vdmdracp.exe');
DeleteFile('C:\WINDOWS\system32\efjtx0jc.dll');
DeleteFile('C:\WINDOWS\system32\vdmdracp.dll');
BC_DeleteSvc('ZZZsvc_lich');
BC_DeleteSvc('lich');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи....
пофиксил последние две строки. Первой ненаблюдалось.
новые логи прилагаю.
карантин выслал.
Восстановление системы: включено -отключить ....
[code]
O20 - AppInit_DLLs: e1.dll efjtx0jc.dll
O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\
[/code]
выполните скрипт ....
[code]
begin
QuarantineFile('efjtx0jc.dll','');
QuarantineFile('e1.dll','');
DeleteFile('e1.dll');
DeleteFile('efjtx0jc.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи ...
Восстановление отключил.
Новые логи.
Крантин выслал.
Какие проблемы остались?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что из этого не нужно?
да вроде все в норме.
Спасиба огромное.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{12ea87b9-23d6-40df-a452-dbdd3cc6db08}\\rp44\\a0016417.exe - [B]Email-Worm.Win32.Warezov.vo[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\efjtx0jc.dll - [B]Email-Worm.Win32.Warezov.vn[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\fpwprich.dll - [B]Email-Worm.Win32.Warezov.vb[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\fpwprich.exe - [B]Email-Worm.Win32.Warezov.vc[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\i2ie4m4w1m.exe - [B]Email-Worm.Win32.Warezov.vo[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\vdmdracp.dll - [B]Email-Worm.Win32.Warezov.vp[/B] (DrWEB: Win32.HLLM.Limar)[*] c:\\windows\\system32\\vdmdracp.exe - [B]Email-Worm.Win32.Warezov.adc[/B] (DrWEB: Win32.HLLM.Limar.2236)[/LIST][/LIST]