Собственно, вот. Не удаляются winnt32.dll и Oty05.sys. В Hijackthis пытаюсь фиксить winnt32.dll -не получается. Чуствую, что решение простое, но сам пока не догадываюсь. Помогите, если не трудно.
Printable View
Собственно, вот. Не удаляются winnt32.dll и Oty05.sys. В Hijackthis пытаюсь фиксить winnt32.dll -не получается. Чуствую, что решение простое, но сам пока не догадываюсь. Помогите, если не трудно.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] -C:\WINDOWS\system32\Drivers\Oty05.sys , C:\WINDOWS\System32\drivers\tcpsr.sys force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Xdi27');
BC_DeleteSvc('Sxd62');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Qxd28');
BC_DeleteSvc('Qwc73');
BC_DeleteSvc('Qwc16');
BC_DeleteSvc('Pua73');
BC_DeleteSvc('Jpu73');
BC_DeleteSvc('grande48');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpu73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pua73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxd28.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdi27.sys');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Oty05.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
К сожалению карантин смогу прислать только завтра. Спасибо
Уфф. Все сделал, как рекомендовано. Как ни странно в карантине ничего не оказалось. Зато исчез winnt32.dll, но на его месте появился пресловутый и не однажды упомянутый WinCtrl32.dll При перезагрузке нод32 обнаружил и удалил зверьков. Вот логи
[QUOTE]
27.05.2008 10:14:28 AMON файл C:\WINDOWS\system32\drivers\wcH51.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\TEMP\BN2.tmp.
27.05.2008 9:05:26 AMON файл C:\WINDOWS\System32\drivers\lrW62.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\TEMP\BN2.tmp.
[/QUOTE]
Причем файл (WinCtrl32.dll) восстанавливался при перезагрузке. По поиску нашел скрипт..
После перезагрузки нод32 отловил вот это
[QUOTE]27.05.2008 10:14:28 AMON файл C:\WINDOWS\system32\drivers\wcH51.sys модифицированный Win32/TrojanDownloader.Wigon.O троян изолирован - удален NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением. C:\WINDOWS\TEMP\BN2.tmp.
[/QUOTE]
Потом вручную удалил (с помощью IceSword) WinCtrl32.dll и пофиксил хайджеке соответствующую строку. Вот. Кстати, карантин оказался с добычей. Высылаю его+файлы из карантина нода.
Надо ставить KIS.
Кстати, там где была гадость, есть локальная сеть. На машинах стоит нод32 с последними базами. Какова вероятность того, что все это перекочевала на соседнюю машину?
[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]
Карантин и и папку с вловленными зверьками отослал. Названия файлов соответственно quarantine.zip и infected.zip
Логи повторите.
[QUOTE]По поиску нашел скрипт
[/QUOTE]
чужие скрипты выполнять нельзя !!!
антивирус нужно отключать на время выполнения скрипта ...
Сходил в контору, снял логи. Вот. Поставил KIS 7. Он еще обрывки нашел. Спасибо
Лог Хиджака покажи, плс. По логам АВЗ зверь еще жив.
Выполнить:
[CODE]begin
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\msX16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lrW62.sys','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekp62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Oty05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wcH51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\msX16.sys');
BC_DeleteSvc('msX16');
BC_DeleteSvc('wcH51');
BC_DeleteSvc('Oty05');
BC_DeleteSvc('Ekp62');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
сделать новые логи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\infected\\duww3kda.nqf - [B]Trojan-Dropper.Win32.Agent.stj[/B] (DrWEB: BackDoor.Bulknet.195)[*] \\infected\\upkonbda.nqf - [B]Trojan-Dropper.Win32.Agent.stj[/B] (DrWEB: BackDoor.Bulknet.195)[/LIST][/LIST]