Помогите избавиться от зверья

Printable View

13.12.2007, 11:40
Moroes

Помогите избавиться от зверья

Собственно вот логи...помогитеЗаранее спасибо.
13.12.2007, 11:48
Moroes

вот
13.12.2007, 13:04
Bratez

Выполните скрипт в AVZ:
[code]
begin
BC_QrFile('C:\autorun.inf');
BC_QrFile('C:\Recycled\Recycled\ctfmon.exe');
BC_QrFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\ctfmon.exe');
BC_QrFile('C:\WINDOWS\TEMP\QX5D7B.EXE');
BC_QrFile('C:\WINDOWS\System32\drivers\Msy74.sys');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Msy74.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('Msy74');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)
[/code]
Пришлите карантин согласно приложению 3 правил.
Скачайте новую версию AVZ - 4.29.
Сделайте новые логи.
13.12.2007, 14:42
Moroes

Смогу только завтра выполнить скрипт, потому как инфицированный уже заперт в кабинете другом :)

И вот вотпрос есть: AVZ с флешки будет рабтать?

Зарнее спасибо
13.12.2007, 14:44
Bratez

[quote]AVZ с флешки будет рабтать?[/quote]
Конечно, без проблем.
13.12.2007, 14:58
Moroes

ок. спс. завтра все сделаю и логи выложу

З.Ы. "Скачайте новую версию AVZ - 4.29." - обновить просто или где то отделно надо скачать (если да то где)
13.12.2007, 15:04
Bratez

Скачать отдельно. Вот прямая ссылка: [url]http://z-oleg.com/avz4.zip[/url]
14.12.2007, 08:30
Moroes

Новая версия еще много всего нашла...что то удалила что то нет...вот логи
14.12.2007, 08:33
Moroes

карантин отправил...Файл сохранён как 071213_233327_virus_476215a75d17e.zip
14.12.2007, 10:04
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Msy74', 'Start');
RebootWindows(true);
end.
[/code]
пофиксите ..
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\4.tmp','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\3.tmp','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\2.tmp','');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\1.tmp','');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Msy74.sys');
BC_DeleteSvc('Msy74');
BC_DeleteSvc('ip6fw');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
14.12.2007, 15:00
Moroes

карантин отправи...Файл сохранён как 071214_055638_virus_47626f76c08b9.zip

Вроде получше стали, но вроде как один троян еще остался по карантину видно...

И еще: а RUNAUTO......... не детектится каспером что ли, да и AVZ его вроде не видит??
14.12.2007, 15:13
Bratez

Очистите папки:
C:\Documents and Settings\Пользователь\Local Settings\Temp
C:\WINDOWS\Temp

Диск F: - съемный?
Подключите тот,что был при создании последних логов.
Выполните скрипт в AVZ:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Recycled\ctfmon.exe');
DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\Recycled\ctfmon.exe');
DeleteFile('F:\Recycled\Recycled\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
14.12.2007, 15:41
Moroes

C:\Documents and Settings\Пользователь\Local Settings\Temp - эта папка уже очищена.

а все остальное только в понеделтник смогу сделать, так как это комп рабочий. F это флешка с авз и хайджеком, а файлик авотран.инф это как раз один из файлов RUNAUTO....

В понедельник будут логи. Большое спасибо за помощь и советы ;)
22.02.2009, 03:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\пользователь\\local settings\\temp\\1.tmp - [B]Trojan.Win32.Pakes.brq[/B] (DrWEB: BackDoor.Bulknet.102)[*] c:\\documents and settings\\пользователь\\local settings\\temp\\2.tmp - [B]Trojan.Win32.Pakes.brq[/B] (DrWEB: BackDoor.Bulknet.102)[*] c:\\documents and settings\\пользователь\\local settings\\temp\\3.tmp - [B]Trojan.Win32.Pakes.brq[/B] (DrWEB: BackDoor.Bulknet.102)[*] c:\\documents and settings\\пользователь\\local settings\\temp\\4.tmp - [B]Trojan.Win32.Pakes.brq[/B] (DrWEB: BackDoor.Bulknet.102)[*] c:\\windows\\system32\\drivers\\ip6fw.sys - [B]Trojan-Downloader.Win32.Diehard.dr[/B] (DrWEB: Trojan.NtRootKit.497)[*] f:\\autorun.inf - [B]Trojan.Win32.VB.aqt[/B] (DrWEB: Win32.HLLW.Autoruner.274)[/LIST][/LIST]