Добрый день ! Помогите пожалуйста, похоже завёлся троян. На дисках C и В autorun.inf. В папке system32 dnsq.dll и в папке system32/com процессы lsass.exe и др. В безопасный режим не попадаю. Каспер их не удаляет и не видит даже.
Printable View
Добрый день ! Помогите пожалуйста, похоже завёлся троян. На дисках C и В autorun.inf. В папке system32 dnsq.dll и в папке system32/com процессы lsass.exe и др. В безопасный режим не попадаю. Каспер их не удаляет и не видит даже.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINNT\System32\msxaxd.exe','');
QuarantineFile('C:\WINNT\System32\msxaxd.dll','');
QuarantineFile('C:\WINNT\System32\dnsq.dll','');
QuarantineFile('C:\WINNT\System32\com\smss.exe','');
QuarantineFile('C:\WINNT\System32\com\netcfg.dll','');
QuarantineFile('C:\WINNT\System32\com\lsass.exe','');
DeleteFile('C:\WINNT\System32\com\lsass.exe');
DeleteFile('C:\WINNT\System32\com\netcfg.dll');
DeleteFile('C:\WINNT\System32\com\smss.exe');
DeleteFile('C:\WINNT\System32\dnsq.dll');
DeleteFile('C:\WINNT\System32\msxaxd.dll');
DeleteFile('C:\WINNT\System32\msxaxd.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
BC_DeleteSvc('deckzpsx');
BC_DeleteSvc('msxbef');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=20451[/url]).
Сделайте новые логи.
После перезагрузки было всё хорошо. А затем снова появился autorun.inf и dnsq.dll, lsass.exe и всё остальное
Ваша зараза видимо на съемном носителе (флэшка, плеер и т.п.) - подключите его.
Загрузитесь в безопасный режим и выполните скрипт в AVZ:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\WINNT\System32\com\lsass.exe');
DeleteFile('C:\WINNT\System32\com\netcfg.dll');
DeleteFile('C:\WINNT\System32\com\smss.exe');
DeleteFile('C:\WINNT\System32\dnsq.dll');
DeleteFile('C:\Recycled\Dc130\ocenka_fiz.part01.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
[COLOR=red] DeleteFile('X:\autorun.inf');
[/COLOR]BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Предварительно замените в красной строчке Х на букву вашего съемного диска.
После перезагрузки повторите логи, не отключая съемный диск.
Вот новые логи. Но после перезагрузки всё опять повторяется. Файлы появляются на старых местах. Грузятся сами собой сайты с китайскими иероглифами.
Карантин после первого скрипта прислали?
Для 2000-ка уже давно СП4 вышел, а у Вас СП2. Надо будет исправлять.
Надо установить AVZPM, перезагрузиться и сделать новые логи. Посмотрим, кто там у Вас маскируется.
Спасибо. Да, карантин я высылал. А AVZPM стоит вроде бы. Сейчас сделаю новые логи.
У Вас, видимо, Xorer [url]http://virusinfo.info/showpost.php?p=172817&postcount=27[/url] , сейчас напишу скрипт.
Добавлено:
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('c:\pagefile.pif','');
QuarantineFile('C:\NetApi00.sys','');
QuarantineFile('C:\037589.log','');
QuarantineFile('C:\lsass.exe.48247687.exe','');
QuarantineFile('c:\winnt\system32\com\netcfg.000','');
QuarantineFile('c:\winnt\system32\com\netcfg.dll','');
QuarantineFile('c:\winnt\system32\com\lsass.exe','');
QuarantineFile('C:\WINNT\System32\dnsq.dll','');
QuarantineFile('c:\winnt\system32\com\smss.exe','');
QuarantineFile('c:\winnt\system32\com\lsass.exe','');
DeleteFile('c:\winnt\system32\com\lsass.exe');
DeleteFile('c:\winnt\system32\com\smss.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=20451[/url] ).
Сделайте новые логи.
Вот это Вам знакомо?
C:\DOCUME~1\boss\МОИДОК~1\ЛИЧНАЯ\АКУЛЫ\SHARKS2.scr
c:\program files\unistream\
У Вас старая версия IE, нужно обновить.
[QUOTE=dekun;207271]Спасибо. Да, карантин я высылал. А AVZPM стоит вроде бы. Сейчас сделаю новые логи.[/QUOTE]
Из лога:[QUOTE]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM[/QUOTE]
Выполнил cкрипт, рекомендованый kps и файлы уже больше не создаются. Логи прилагаются.
А по поводу драйвера AVZM :у меня не получается его установить. Я это пробовал ещё с самого начала. Может это из-за того, что windows 2000 sp2?
Не вижу Вашего карантина после моего скрипта. Загрузите пожалуйста по указанной выше ссылке.
По предыдущему карантину:
C:\WINNT\System32\dnsq.dll - [b]Trojan-PSW.Win32.Agent.acp[/b]
C:\pagefile.pif - [b]Virus.Win32.Xorer.fb[/b]
C:\WINNT\System32\com\smss.exe - [b]Virus.Win32.Xorer.dt[/b]
C:\WINNT\System32\com\lsass.exe - [b]Virus.Win32.Xorer.fb[/b]
C:\WINNT\System32\com\netcfg.dll - [b]Virus.Win32.Xorer.ee[/b]
Логи чистые. Выполните еще такой скрипт [url=http://virusinfo.info/showthread.php?t=7239]в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\System32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Простите, я с перепуга очистил и папку с карантином. Спасибо большое за помощь.
Какие-то проблемы остались?
Проблем не осталось.
А Вы не подскажите AVZM не устанавливается из-за того, что Widows 2000 SP2 ? Если да , то установка SP4 поможет ?
SP4 + Rollup1 + заплатки россыпью настоятельно рекомендуются с целью затыкания множества обнаруженных дыр. Ну, и вообще устойчивость системы должна повыситься, SP2 и ниже отличались падучестью в некоторых ситуациях.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\pagefile.pif - [B]Virus.Win32.Xorer.fb[/B] (DrWEB: Win32.HLLP.Rox.17)[*] c:\\winnt\\system32\\com\\lsass.exe - [B]Virus.Win32.Xorer.fb[/B] (DrWEB: Win32.HLLP.Rox.17)[*] c:\\winnt\\system32\\com\\netcfg.dll - [B]Virus.Win32.Xorer.ee[/B] (DrWEB: Win32.HLLP.Rox)[*] c:\\winnt\\system32\\com\\smss.exe - [B]Virus.Win32.Xorer.dt[/B] (DrWEB: Win32.HLLP.Rox)[*] c:\\winnt\\system32\\dnsq.dll - [B]Trojan-PSW.Win32.Agent.acp[/B] (DrWEB: Win32.HLLP.Rox.16)[*] c:\\winnt\\system32\\msxaxd.dll - [B]Backdoor.Win32.Hupigon.aueu[/B] (DrWEB: Trojan.Stius)[*] c:\\winnt\\system32\\msxaxd.exe - [B]Trojan.Win32.Delf.blp[/B] (DrWEB: Trojan.Stius)[/LIST][/LIST]