StorageProtector снова

Printable View

19.02.2008, 15:24
LongSnake

StorageProtector снова

Здравствуйте.
У меня проблема аналогичная [URL]http://virusinfo.info/showthread.php?t=15578[/URL].

Вчера прогнал AVZ, ярлыки и tmp-файлы удалось удалить, но подозрения есть что не всё пофиксилось и удалилось.

PS :7 пункт правил не смог сделать, происходит ошибка в rundll32.exe и просит отослать отчёт, пришлось отключить саму службу.

С нашим тормозным инетом аттачи почему-то в тему не прекрипились, хотя в профиле они лежат.
Это как-то можно изменить?
19.02.2008, 15:54
Макcим

Давайте логи.
20.02.2008, 06:30
LongSnake

С утра вроде инет потолще, пока все спят. Вот логи
20.02.2008, 10:43
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\WINDOWS\system32\sexvkota.dll','');
QuarantineFile('E:\WINDOWS\system32\ocntksjt.dll','');
QuarantineFile('ziswin.exe','');
QuarantineFile('winpez32.dll','');
QuarantineFile('ocntksjt.dll','');
QuarantineFile('efcdeba.dll','');
QuarantineFile('E:\WINDOWS\system32\winpez32.dll','');
QuarantineFile('E:\WINDOWS\system32\tusqn.dll','');
QuarantineFile('E:\WINDOWS\system32\spxceocl.dll','');
QuarantineFile('E:\WINDOWS\system32\efcdeba.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
20.02.2008, 15:09
LongSnake

Да ёлки-палки... при загрузке карантина поймал таймаут. Загрузился архив?
20.02.2008, 15:11
Bratez

Нет.
20.02.2008, 15:29
LongSnake

Загрузил.
Спасибо за терпение моего торможения :-)
20.02.2008, 15:48
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\efcdeba.dll');
DeleteFile('E:\WINDOWS\system32\sexvkota.dll');
DeleteFile('E:\WINDOWS\system32\spxceocl.dll');
DeleteFile('E:\WINDOWS\system32\tusqn.dll');
DeleteFile('E:\WINDOWS\system32\winpez32.dll');
DeleteFile('E:\WINDOWS\system32\ocntksjt.dll');
DelBHO('{ae92b5d6-d133-4aae-af38-8800efce0bb8}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{A337608D-3BE6-4551-8262-99AC41A476B6}');
DelBHO('{8CD034DD-E9AD-47D3-8689-51886345799C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

ziswin.exe - попробуйте разыскать через AVZ - Сервис - Поиск файлов на диске.
21.02.2008, 06:58
LongSnake

ziswin.exe не нашёлся, возможно симантек его убил, хотя в логе симантека нет этого имени,а вот
E:\WINDOWS\system32\tusqn.dll и E:\WINDOWS\system32\ocntksjt.dll есть и якобы удалены.
21.02.2008, 07:01
LongSnake

Простите, забыл ещё один..
21.02.2008, 07:14
Bratez

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
QuarantineFile('E:\WINDOWS\system32\ddaaw.dll','');
DeleteFile('E:\WINDOWS\system32\ddaaw.dll');
DelBHO('{8CD034DD-E9AD-47D3-8689-51886345799C}');
DelBHO('{6811D74D-C03B-423E-94D7-125295B239EB}');
DelBHO('{0E9186C1-AF28-4E9A-8107-953E57116282}');
DelWinlogonNotifyByKeyName( 'efcdeba');
DelWinlogonNotifyByKeyName( 'ocntksjt');
DelWinlogonNotifyByKeyName( 'winpez32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин.
Сделайте два последних лога еще раз.
21.02.2008, 11:33
LongSnake

Готово...
21.02.2008, 13:47
V_Bond

пофиксите ...
[code]
O2 - BHO: (no name) - {DD615BD8-7BF8-4876-8FEA-2211DC6B0D76} - E:\WINDOWS\system32\ddaaw.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\ddaaw.dll');
DelBHO('{DD615BD8-7BF8-4876-8FEA-2211DC6B0D76}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
[/code]
повторите hijackthis.log
21.02.2008, 13:48
Bratez

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
С антивирусами разберитесь. Сочетание симантека со старой версией Касперского не прибавляет ни защиты ни производительности. Антивирус должен быть один, по возможности свежей версии.
21.02.2008, 15:50
LongSnake

Всем при огромнейшее спасибо!!!! респект и тд. :-)
По большому счёту, на основе ваших ответов, я уже сам понял как анализировать логи, и как делать скрипты.
Ещё раз спасибо, реально помогли.
22.02.2009, 04:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\\windows\\system32\\ddaaw.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.274)[*] e:\\windows\\system32\\efcdeba.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dro[/B] (DrWEB: Trojan.Virtumod.240)[*] e:\\windows\\system32\\sexvkota.dll - [B]Trojan.Win32.Monder.cj[/B] (DrWEB: Trojan.Virtumod.269)[*] e:\\windows\\system32\\spxceocl.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.272)[*] e:\\windows\\system32\\winpez32.dll - [B]Trojan.Win32.Dialer.yz[/B] (DrWEB: Trojan.Mezzia.91)[/LIST][/LIST]