help

Printable View

28.05.2008, 11:20
gargoyles

help

Добрый день,WIN XP SP2 стоял Symantec Antivirus, этот друг при регулярном обновлении напропускал кучу троянов.
Снёс.
Поставил KIS7, активировал, но обновление не проходит пишет "невозможно подключиться к базам". При этом интернет работает, emule файлы качает и.т.п.
Правда в emule HI ID сменился на LOW ID несмотря на то что все порты оставил открытыми как прежде т.е встроенный файервол их не блокирует, даже антишпиона отключил но ничего не меняется.
Потом стал регулярно глуючить IE. Особенно если в поисковике нажимаешь на ссылку открывает какие-то спамовые сайты,а не то куда я хотел попасть.
Имея уже опыт virusinfo хотел зайти на ваш сайт с домашнего ПК - нифига! Нет такого сайта!
Еле удалось скачать и обновить AVZ. Hijackit тоже пишет что нет такого файла, пришлось использовать 10-и месячной давности.
Кстати, повторно поставил SYMANTEC - базы тоже не обновляет,пишет ошибка подключения.

вот логи
28.05.2008, 12:07
akok

Скачайте [url=http://ifolder.ru/6493654]Icesword[/url]

Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\Drivers\wdF14.sys
C:\WINDOWS\system32\Drivers\Kos25.sys
C:\WINDOWS\system32\Drivers\Jnq71.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dll
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\EFSJFSPO\1[1].exe','');
QuarantineFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\VE71HXBB\1[1].exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('WLCtrl32.dll','');
SetServiceStart('tcpsr', 4);
DeleteService('tcpsr');
SetServiceStart('Nrq52', 4);
DeleteService('Nrq52');
SetServiceStart('wdF14', 4);
DeleteService('wdF14');
SetServiceStart('Kos25', 4);
DeleteService('Kos25');
SetServiceStart('Jnq71', 4);
DeleteService('Jnq71');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Jnq71.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Kos25.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\wdF14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnq71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kos25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\wdF14.sys');
DeleteFile('Nrq52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\YD8RO72N\xloader[1].exe');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\VE71HXBB\1[1].exe');
DeleteFile('C:\Documents and Settings\007_A64\Local Settings\Temporary Internet Files\Content.IE5\EFSJFSPO\1[1].exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 38 секунд[/I][/B][/color][/size]

Повторите логи
29.05.2008, 10:01
gargoyles

ок

Сделал всё,что написали!
Единственное файла
C:\WINDOWS\System32\drivers\tcpsr.sys
обнаружить не удалось.
А что такое Force Delete и почему нельзя было удалить руками из самих папок без оболочки Iceword?

Файлы карантина прилагаю, но они старые (до лечения тем методом что вы написали), больше файлов карантина не создалось после запусков AVZ, поэтому и приложил старые.
Ну и новые логи.

И ещё KIS7.0 так и не обновляется, в emule всё также LowID(при этом в файрволе на портах стоят галочки чтобы их не блокировали) и ещё БЛОКНОТ не запускается если кликать на текстовом документе.
29.05.2008, 10:13
Макcим

Карантин был прикреплен в теме и я его удалил.
xloader[1].exe - [B]Trojan-Downloader.Win32.Agent.qph[/B]
1[1].exe - [B]Trojan.Win32.DNSChanger.dla[/B] (проверяйте настройки интернета, он их меняет)
1[1].exe (другой файл)- [B]Trojan-Dropper.Win32.Agent.rup[/B]

[size="1"][color="#666686"][B][I]Добавлено через 57 секунд[/I][/B][/color][/size]

[QUOTE=gargoyles;233447]А что такое Force Delete и почему нельзя было удалить руками из самих папок без оболочки Iceword?[/QUOTE]Потому что это агрессивный руткит, который всячески сопротивляется удалению.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE','');
QuarantineFile('C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe','');
BC_DeleteSvc('Jnq71');
BC_DeleteSvc('clbdriver');
BC_Activate;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.
29.05.2008, 11:47
gargoyles

[quote=Maxim;233450]Карантин был прикреплен в теме и я его удалил.
xloader[1].exe - [B]Trojan-Downloader.Win32.Agent.qph[/B]
1[1].exe - [B]Trojan.Win32.DNSChanger.dla[/B] (проверяйте настройки интернета, он их меняет)
1[1].exe (другой файл)- [B]Trojan-Dropper.Win32.Agent.rup[/B]

[SIZE=1][COLOR=#666686][B][I]уважаемый,не подскажете как можно вернуть все настройки инета по-умолчанию потому что я видимых изменений не вижу, не понимаю что может мешать emule связываться по Hign ID ведь порты в файрволе открыты, и касперский тоже не понимаю почему не соединяется.[/I][/B][/COLOR][/SIZE]
[B][I][SIZE=1][COLOR=#666686]И опять загадкой остаётся что с домашнего ПК я не могу зайти на [URL]http://virusinfo.info[/URL] - сайт не найден.[/COLOR][/SIZE][/I][/B]
[B][I][SIZE=1][COLOR=#666686]Где покопаться нужно?[/COLOR][/SIZE][/I][/B]

карантин прикрутил сверху темы, но не вижу получилось ли это.
Повторяю,что карантин по состоянию до "лечения"
Спасибо заранее.
29.05.2008, 20:21
gargoyles

j

после скрипта MAXIMA заработал блокнот и наконец смог подключиться к [URL]http://virusinfo.info[/URL].
И о чудо! EMULE показал HIGH ID.
Догадываюсь что и KIS7 обновится без проблем.

Выкладываю логи и карантин.
30.05.2008, 07:05
gargoyles

посмотрите пожалуйста,появилось подозрение что опять чего-то словил :(
30.05.2008, 08:21
Bratez

1. Ice Sword, находим:

C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Gkn60.sys
C:\WINDOWS\System32\drivers\tcpsr.sys

и делаем им Force Delete.

2. HijackThis, фиксим строчку:
[code]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
[/code]
3. AVZ, выполняем скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Gkn60.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Gkn60');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки - новые логи, начиная с п.10 правил.
30.05.2008, 10:40
gargoyles

[quote=Bratez;234014]

2. HijackThis, фиксим строчку:
[code]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32[/quote]

а для общего развития просвятите пожалуйста,что означает "профиксить"? Подменить новым оригинальным файлом Windows?
30.05.2008, 10:44
Гриша

[url]http://virusinfo.info/showthread.php?t=4491[/url]
30.05.2008, 19:28
gargoyles

вот логи свежие после выполнения вышеуказанных процедур
30.05.2008, 21:26
Гриша

Чисто,жалобы есть?
30.05.2008, 21:54
gargoyles

нету,спасибо большое
22.02.2009, 05:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\007_a64\\local settings\\temporary internet files\\content.ie5\\ve71hxbb\\1[1].exe - [B]Rootkit.Win32.Clbd.am[/B] (DrWEB: Trojan.Inject.3428)[*] c:\\documents and settings\\007_a64\\local settings\\temporary internet files\\content.ie5\\yd8ro72n\\xloader[1].exe - [B]Trojan-Downloader.Win32.Agent.qph[/B] (DrWEB: Trojan.DownLoader.62739)[/LIST][/LIST]