Помогите грамотно отломать сабж.
простое прибитие файла приводит к невозможности загрузки ни в нормальном, ни в безопасном режиме. живет в \system32\baseabn32.dll
третий лог доделывается
ЗЫ: по вирустоталу 8/32
Printable View
Помогите грамотно отломать сабж.
простое прибитие файла приводит к невозможности загрузки ни в нормальном, ни в безопасном режиме. живет в \system32\baseabn32.dll
третий лог доделывается
ЗЫ: по вирустоталу 8/32
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.[/CODE]Повторите логи. Прикрепите также SubSystems.log из папки AVZ.
Гы.. вот ведь знал, что не все так просто... :)
ждать пока #3-й скрипт довыполняется?
Да, нужно закончить сканирование, а потом выполнять этот.
готово.
зараза ушла вроде..
логи прстегиваю...
Пришлите по правилам файл C:\WINDOWS\system32\BASEABN3.DLL
[quote=Maxim;175034]Пришлите по правилам файл C:\WINDOWS\system32\BASEABN3.DLL[/quote]
там ничего нового.. это тот же файл.. с именем 8.3, я его забыл удалить после восстановления...
присылать?
Тогда не надо. Лечение завершено.
Maxim, помогите еще немного пожалуйста..
В файле system32\drivers\ndisrd.sys возможно присутсвует зараза.. Каспер и НОД32 не знает, по вирустоталу 12/32.
архив с ним отправил, в пристежке некоторые ссылки из реестра на него..
АВЗ при поиске файлов с галками исключить известные/прошедшие подлинность его находит, но в карантин не суёт..
Файл сохранён как 080119_151332_ndisrd_479267fcc5c5b.zip
Размер файла 8950
MD5 1c9a3faaa6a3b50dd5245878d0108fcf
ЗЫ: по имени файла нагуглилась ссылка на viruslist.com где приведено описание емайл-троянчика
Хмм...
Эта зараза одним файлом не лежит сделайте логи
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Поиск выдал два имени
[b]Net-Worm.Win32.Padobot.z[/b]
[b]Email-Worm.Win32.Bagz.a[/b]-надеюсь переписка у вас небольшая:)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
А может что-то новенькое...
[quote=akoK;175112]Хмм...
Эта зараза одним файлом не лежит сделайте логи
[SIZE=1][COLOR=#666686][B][I]Добавлено через 2 минуты[/I][/B][/COLOR][/SIZE]
Поиск выдал два имени
[B]Net-Worm.Win32.Padobot.z[/B]
[B]Email-Worm.Win32.Bagz.a[/B]-надеюсь переписка у вас небольшая:)
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
А может что-то новенькое...[/quote]
последние логи в 5-м посте, после них только трендмикро снес...
длина у файла больно маленькая..
теоретически с того компа вообще никому ничего не писалось..
ЗЫ: новые логи в процессе..
Вирлаб ничего вредоносного не нашел
ну и славненько.. значит [URL="http://www.virustotal.com/ru/analisis/ee1374ce1c1e6b15a83e7fdb7bcb741d"]это[/URL] глюк..
ща логи доделаются, кину на всяк. случай..
Когда я "прогонял" у меня 10 срабатываний уже было;)
вот логи свежие:
[quote=akoK;175123]Когда я "прогонял" у меня 10 срабатываний уже было;)[/quote]
такое чувство что по файлнейму детект срабатывает.. :)
а ветки реестра ни о чем не говорят?
[quote]а ветки реестра ни о чем не говорят?[/quote]
пока нет
[quote=akoK;175133]пока нет[/quote]
еще наковырять или ну его нафик?
я отправил еще вЭбовцам:) пусть они еще поковыряются. Но я незнаю, насколько оперативно они прореагируют.