Одолел kerneldrv

Printable View

Показывать 40 сообщений этой темы на одной странице

17.03.2008, 12:58
glit

Одолел kerneldrv

Одолели вирусы
Cureit слегка почистил, но зараза осталась.

Скрипт лечения/карантина ребутает комп на примерно 60% работы
IE не запускается вообще.

Остальные логи прилагаю.
17.03.2008, 13:23
wise-wistful

ContentSaver, RuPass и ConnectionServices - это Adware
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\kerneldrv.exe');
SetServiceStart('Akx18', 4);
StopService('Akx18');
SetServiceStart('Xge86', 4);
StopService('Xge86');
SetServiceStart('Vsm42', 4);
StopService('Vsm42');
SetServiceStart('Ebd74', 4);
StopService('Ebd74');
SetServiceStart('Anf80', 4);
StopService('Anf80');
SetServiceStart('Ulr85', 4);
StopService('Ulr85');
SetServiceStart('Tsl41', 4);
StopService('Tsl41');
SetServiceStart('Fkn77', 4);
StopService('Fkn77');
SetServiceStart('Etf41', 4);
StopService('Etf41');
SetServiceStart('Fnt18', 4);
StopService('Fnt18');
SetServiceStart('Tfo28', 4);
StopService('Tfo28');
SetServiceStart('Hot00', 4);
StopService('Hot00');
SetServiceStart('Gwd52', 4);
StopService('Gwd52');
SetServiceStart('Jdj74', 4);
StopService('Jdj74');
SetServiceStart('Sun41', 4);
StopService('Sun41');
SetServiceStart('Suf41', 4);
StopService('Suf41');
SetServiceStart('Oee20', 4);
StopService('Oee20');
SetServiceStart('Lin30', 4);
StopService('Lin30');
SetServiceStart('Koy30', 4);
StopService('Koy30');
SetServiceStart('Rmr06', 4);
StopService('Rmr06');
SetServiceStart('Rcx33', 4);
StopService('Rcx33');
SetServiceStart('Pdn64', 4);
StopService('Pdn64');
SetServiceStart('Pns17', 4);
StopService('Pns17');
SetServiceStart('Pgw74', 4);
StopService('Pgw74');
QuarantineFile('C:\WINDOWS\system32\msupdtck.exe','');
QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xge86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vsm42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ulr85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tsl41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tfo28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sun41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Suf41.sys','');
QuarantineFile('D:\NTGLM7X.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rmr06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rcx33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pns17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pgw74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pdn64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Oee20.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lin30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Koy30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jdj74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hot00.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gwd52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fnt18.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fkn77.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Etf41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ebd74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Anf80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Akx18.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\cdrbsdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\1033z.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
DeleteFile('c:\windows\system32\kerneldrv.exe');
DeleteFile('C:\WINDOWS\System32\Dll.dll');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Akx18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Anf80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ebd74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Etf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fkn77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fnt18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gwd52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hot00.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jdj74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Koy30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lin30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oee20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pdn64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pgw74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pns17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rcx33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rmr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Suf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sun41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tfo28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tsl41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ulr85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vsm42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xge86.sys');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe');
BC_ImportAll;
BC_DeleteSvc('Xge86');
BC_DeleteSvc('Akx18');
BC_DeleteSvc('Vsm42');
BC_DeleteSvc('Anf80');
BC_DeleteSvc('Tsl41');
BC_DeleteSvc('Ulr85');
BC_DeleteSvc('Ebd74');
BC_DeleteSvc('Etf41');
BC_DeleteSvc('Fkn77');
BC_DeleteSvc('Tfo28');
BC_DeleteSvc('Fnt18');
BC_DeleteSvc('Gwd52');
BC_DeleteSvc('Sun41');
BC_DeleteSvc('Hot00');
BC_DeleteSvc('Suf41');
BC_DeleteSvc('Jdj74');
BC_DeleteSvc('Koy30');
BC_DeleteSvc('Lin30');
BC_DeleteSvc('Rcx33');
BC_DeleteSvc('Pns17');
BC_DeleteSvc('Oee20');
BC_DeleteSvc('Rmr06');
BC_DeleteSvc('Pgw74');
BC_DeleteSvc('Pdn64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19971[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
[/CODE]
Повторите логи
17.03.2008, 13:49
glit

Логи стали выполняться все, ie запускается, карантин (ненулевые файлы приложил)

Но это кажется еще не все
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, - я не нашел и появился жуткий тормоз при запуске компутера (1-2 минуты)
17.03.2008, 13:55
V_Bond

чем вы зверей кормите .... что они у вас так хорошо размножаются ? ;)
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
QuarantineFile('C:\WINDOWS\system32\msupdtck.exe','');
BC_DeleteSvc('symavc32');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
QuarantineFile('C:\WINDOWS\system32\1033z.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\system32\msupdtck.exe');
DeleteFile('C:\WINDOWS\system32\1033z.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
17.03.2008, 14:10
glit

Так это не у меня а у знакомого бухгалтера

Карантин выслал, но в него нового почти ничего не попало
Логи через 5-10 минут
17.03.2008, 14:27
glit

Вот и логи...
17.03.2008, 14:37
wise-wistful

Поищите при помощи АВЗ сервис--поиск файлов на диске [b]3com_dmigy.exe[/b]. Пришлите его согласно приложению 2 правил.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Как чувствует себя система?
17.03.2008, 15:06
glit

Файл находит, но в карантин не добавляет
пишет
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\3com_dmigy.exe)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\3com_dmigy.exe)
17.03.2008, 15:09
wise-wistful

Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [url="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе безопасных файлов[/url]. Мы будем Вам очень благодарны!

Привет бухгалтеру;)

Как чувствует себя система?
17.03.2008, 15:43
glit

Система при запуске все еще тормозит и этот 3com меня волнует...

У меня, слава богу, зверки не заводятся, а вот у знакомых...

[quote=wise-wistful;203164]Нам интересно Ваше [URL="http://virusinfo.info/showthread.php?t=19883"]мнение[/URL] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Привет бухгалтеру;)

Как чувствует себя система?[/quote]
17.03.2008, 15:44
V_Bond

[QUOTE=glit;203161]
Файл успешно помещен в карантин (C:\WINDOWS\system32\3com_dmigy.exe)[/QUOTE]
отослан ?
17.03.2008, 16:22
glit

он то помещен, но перед этим идет ошибка, и файл 0-ой длины.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

файл имеет атрибут системного, размер - 42 кб
рядом с ним 3com_dmig.dll - на тоталвирус распознается 22-мя антивирусами
например как Backdoor.Win32.Agent.ejv

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

ни dr web ни nod32 - который стоит на системе его не распознают...

надо как-то вычистить...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Наконец смог добавить через safe mode (предварительно удалив 0-ой файл из карантина - глюк?)

Закачал
17.03.2008, 16:50
wise-wistful

Да, парочка оказалась нехорошей. 3com_dmigy.exe - [b]Backdoor.Win32.IRCBot.byr[/b], 3com_dmig.dll - [b]Backdoor.Win32.Agent.ejv[/b]. Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\3com_dmigy.exe');
DeleteFile('C:\WINDOWS\system32\3com_dmig.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи
17.03.2008, 17:12
glit

Скрипт прогнал, это зараза пропала... но комп после включения все еще некоторое время тормозит - загрузка 0%, но taskbar не отвечает (и explorer) около минуты
17.03.2008, 17:15
wise-wistful

Поищите ещё при помощи АВЗ сервис поиск файлов на диске [b]3ivxDSMediaMuxk.exe[/b], [b]activedsm.exe[/b] и [b]3ivxDSAudioDecoderd.exe[/b] и вышлите их согласно приложения 2 правил.
17.03.2008, 17:28
glit

вот они мне тоже не нравятся
первые 3ivx... пошли сами а вот activedsm.exe не захотел... сейчас через safe закину

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

и размер у них подходящий....

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

закачал...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

и virustotal... на них реагирует... не резко но все-таки подозрительно
17.03.2008, 17:35
wise-wistful

activedsm.exe - [b]Backdoor.Win32.IRCBot.byr[/b].
Выполните в АВЗ для его убиения.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RpcSsEventSystem', 4);
StopService('RpcSsEventSystem');
DeleteFile('C:\WINDOWS\system32\activedsm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('RpcSsEventSystem');
BC_Activate;
RebootWindows(true);
end.[/code]

По сладкой парочке подождём ответа Вирлаба.
17.03.2008, 17:45
glit

что-то еще точно живет

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Nod32 находит WIn32/Nuwar.Gen worm при сканировании system32 во многих файлах
17.03.2008, 21:46
wise-wistful

3ivxDSAudioDecoderd.exe и 3ivxDSMediaMuxk.exe- [b]Trojan.Win32.Inject.agh[/b]. Посему в АВЗ выполните:
[code] begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Wmihelpsvc', 4);
StopService('Wmihelpsvc');
SetServiceStart('SamSsCryptSvc', 4);
StopService('SamSsCryptSvc');
DeleteFile('C:\WINDOWS\system32\3ivxDSAudioDecoderd.exe');
DeleteFile('C:\WINDOWS\system32\3ivxDSMediaMuxk.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Wmihelpsvc');
BC_DeleteSvc('SamSsCryptSvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
18.03.2008, 10:26
glit

Сделал
Все равно какой-то небольшой (около минуты) тормоз при старте

Показывать 40 сообщений этой темы на одной странице