lich.sys, trojan.NtRootKit.497 & etc

Printable View

10.12.2007, 16:02
uceps

Вложений: 3

lich.sys, trojan.NtRootKit.497 & etc

Комп сотрудника. ВинХП сп2. По недостмотру его акаунт имел права локального админа. При загрузке начали появляться виндовые окна/ероры - "приложение абракадабра.ехе ошибка чтения памяти по адресу такому-то", "отправить отчет о сбое в МС?". Диспетчер задач оказался заблокированным - типа запрещен администратором... + все жутко тормозит.

Ребут в safe mode + cureit - 50 шт вирусов в папках "c:\windows; c:\windows\system32; inet temps user'a".

ребут в нормальном режиме - никаких изменений - диспетчер задач заблокирован, тормоза, АВЗ стартует но не позволяет запустить скрипты.. + появлись удаленные в сейфмоде зараженные файлы (c:\lich.exe, c:\windows\system32\lich.sys, etc..)

нова сейфмод, снова кюрит, + там же АВЗ, в нем лечение + ручками удаление левых служб (zzz_lich, etc..) + там же чистка списка автозапуска ОС..

ребут в нормалмод - под локальным админом еще раз проверка кюритом
и АВЗ - почистило еще какие-то остатки, но уже удаленные файлы больше не создаются..

ребут в нормалмоде под лок админом - вроде все ок. убрал искомого юзера из группы лок админов. релогон под его акаунтом и.. см. начало поста :(

есть какие-либо идеи?
логи прилагаются.

спасибо.
10.12.2007, 16:10
zerocorporated

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',' ');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

3.Сделайте [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL]

4.Ещё этот скрипт выполните:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\winmain.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
QuarantineFile('C:\WINDOWS\system32\systb.dll','');
QuarantineFile('C:\WINDOWS\system32\wetde1.dll','');
DeleteFile('C:\WINDOWS\system32\wetde1.dll');
DeleteFile('C:\WINDOWS\system32\systb.dll');
DeleteFile('C:\WINDOWS\system32\makehm.exe');
DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
DeleteFile('C:\Documents and Settings\LocalService\winmain.exe');
DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
10.12.2007, 17:01
uceps

Вложений: 1

1. карантин - отправил.
2. после первого скрипта сделал доп лог в АВЗ - приатачен к этому посту.

после выполнения второго скрипта вышлю повторно все логи
10.12.2007, 17:07
Bratez

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
BC_QrSvc('asc3550p');
BC_QrSvc('ntosnh.sys');
BC_QrSvc('ntoss.sys');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('ntosnh.sys');
BC_DeleteSvc('ntoss.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Если вдруг карантин будет не пустой - пришлите по правилам.
10.12.2007, 17:16
uceps

Вложений: 2

выполнил все 3 предложенных скрипта.
после 3-го - карантин пустой.
логи после 2го - приатачены.

Спасибо за помощь. На этом все?
10.12.2007, 17:18
V_Bond

еще раз сделайте дополнительный лог ....
10.12.2007, 17:56
uceps

Вложений: 2

1. доп лог сделал. приатачен
2. после этого выполнил скрипт поиска и нейтрализации Руткитов. лог сохранен и приатачен.

все операции делались в нормал моде под локальным админом.
дальнейшие дествия?
10.12.2007, 19:06
uceps

Будьте добры, подтвердите, что лечение закончено или ...
10.12.2007, 19:10
V_Bond

в логах чисто ....
10.12.2007, 19:40
uceps

ок. спасибо за помощь.
22.02.2009, 03:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\dllgh8jkd1q5.exe - [B]Packed.Win32.Tibs.em[/B] (DrWEB: Trojan.DownLoader.15909)[*] c:\\windows\\system32\\dllgh8jkd1q6.exe - [B]Packed.Win32.Tibs.em[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\dllgh8jkd1q7.exe - [B]Packed.Win32.Tibs.em[/B][*] c:\\windows\\system32\\kernelwind32.exe - [B]Trojan-Downloader.Win32.Tibs.rg[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\lbab0.tmp.exe - [B]Trojan-Downloader.Win32.Tibs.rg[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\l6898.tmp.exe - [B]Trojan-Downloader.Win32.Tibs.rg[/B] (DrWEB: Trojan.DownLoader.19256)[*] c:\\windows\\system32\\l7afc.tmp.exe - [B]Trojan.Win32.Small.vp[/B] (DrWEB: Trojan.Packed.260)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Obfuscated.ls[/B] (DrWEB: BackDoor.Bolg)[/LIST][/LIST]