WinReanimator

Printable View

08.03.2008, 19:37
call03

Вложений: 3

WinReanimator

Здравствуйте, темы про сабж все чаще стали появлятся, но поскольку противопоказанно выполнять чужие скрипты, решил тоже тему создать, да и судя по логам в системе не только он.

Системник принесли на "оживление", как сказали без защиты он был 1.5 месяца, при обычных загрузках синие экраны.. из безопасного прогнал cureit, он удалил 22 трояна.. система стала грузится, но реаниматор на месте.. симптомы аналогичные: утечка трафика, отключение защитного ПО, запуск только с переименованных exe'шников

Скан и подготовку сделал по правилам, логи прилагаю
08.03.2008, 19:48
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\systempro.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\9129837.exe','');
QuarantineFile('C:\Program Files\WinReanimator\WinReanimator.exe','');
QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe','');
BC_DeleteSvc('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL','');
QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll','');
QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
TerminateProcessByName('80c0ca25.exe');
DeleteFile('80c0ca25.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe');
DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll');
DeleteFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL');
DeleteFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Program Files\WinReanimator\WinReanimator.exe');
DeleteFile('C:\WINDOWS\9129837.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\windows\system32\systempro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
08.03.2008, 20:54
call03

Вложений: 3

карантин прислал, повторяю логи
09.03.2008, 02:15
Bratez

Пофиксите в HijackThis:
[code]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.nodialup.name/ciuccia.exe
O20 - AppInit_DLLs: cru629.dat
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\braviax.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
[b]Обновите базы AVZ! [/b] Сделайте новые логи.
09.03.2008, 03:48
call03

Вложений: 3

сделал, ожил касперский, перестал генерится braviax.exe

логи с новыми базами (прошу прощение, та система без сети, сразу не сообразил просто файлы баз перекинуть)
09.03.2008, 11:59
Bratez

Выполните следующий скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Program Files\WinReanimator\install.exe','');
QuarantineFile('C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe','');
DeleteFile('C:\Program Files\WinReanimator\install.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Новый карантин пришлите по правилам.
Очистите временные файлы IE через "Свойства обозревателя".
09.03.2008, 15:50
call03

сделал, карантин отправил
09.03.2008, 15:59
V_Bond

C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe -чистый...
повторите логи ...
09.03.2008, 17:11
call03

Вложений: 3

логи
09.03.2008, 17:18
V_Bond

Надежные узлы - сами добавляли ?
09.03.2008, 17:22
call03

нет, дело рук троянов скорее всего=)
09.03.2008, 17:23
Bratez

Тогда пофиксите это:
[code]
O15 - Trusted Zone: www.2mug.com
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.nodialup.name
O15 - Trusted Zone: www.sgnappo.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.whatsnew.name
[/code]
09.03.2008, 17:26
call03

а карантин, кроме EPC_Patch.exe , можно удалить?
09.03.2008, 17:27
V_Bond

можно ...
09.03.2008, 19:22
call03

зоны пофиксил, жалоб нет, все работает.. хелперам огромное спасибо=)
22.02.2009, 04:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\anatoly\\local settings\\temporary internet files\\content.ie5\\lg87pdct\\installer2[1].exe - [B]not-a-virus:FraudTool.Win32.Reanimator.a[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\program files\\winreanimator\\install.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.a[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\program files\\winreanimator\\winreanimator.dll - [B]not-a-virus:FraudTool.Win32.Reanimator.d[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\program files\\winreanimator\\winreanimator.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.b[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\windows\\system32\\braviax.exe - [B]Hoax.Win32.Renos.bcz[/B] (DrWEB: Trojan.Packed.383)[*] c:\\windows\\system32\\cru629.dat - [B]Backdoor.Win32.Small.cyb[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\drivers\\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] (DrWEB: Trojan.Fakealert.458)[*] c:\\windows\\system32\\mssrv32.exe - [B]Trojan-Downloader.Win32.Small.srn[/B] (DrWEB: Trojan.DownLoader.26661)[*] c:\\windows\\system32\\users32.dat - [B]Trojan.Win32.Zapchast.fo[/B] (DrWEB: Trojan.Proxy.3204)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.Reanimator.a[/B] (DrWEB: Trojan.Fakealert.452)[*] c:\\windows\\system32\\.80c0ca25\\80c0ca25.core.dll - [B]Trojan.Win32.Pakes.chv[/B] (DrWEB: Trojan.Virtumod.based.14)[*] c:\\windows\\system32\\.80c0ca25\\80c0ca25.exe - [B]Trojan.Win32.Pakes.chw[/B] (DrWEB: Trojan.Virtumod.based.14)[/LIST][/LIST]