Руины после атаки

Printable View

Показывать 40 сообщений этой темы на одной странице

11.06.2008, 09:38
Petro8i4

Руины после атаки

На компе похоже кучка вирусов!!!! Сам перезагружается, штампует кучу файлов!
11.06.2008, 10:09
Гриша

Отключите восстановление системы и антивирус!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - (no file)
O20 - AppInit_DLLs: ukrth.dll,hjmh.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,jkhjsd.dll,hjtdrh.dll,hyjmt.dll,fydgky.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dhugtj.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,uyjtd.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zxfhajpg.exe','');
QuarantineFile('C:\WINDOWS\system32\zptlcsys.dll','');
QuarantineFile('C:\WINDOWS\system32\zdesfx.dll','');
QuarantineFile('C:\WINDOWS\system32\zaztamsn.exe','');
QuarantineFile('C:\WINDOWS\system32\yxfhcjpg.dll','');
QuarantineFile('C:\WINDOWS\system32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\system32\swsxachu.dll','');
QuarantineFile('C:\WINDOWS\system32\pedadt.dll','');
QuarantineFile('C:\WINDOWS\system32\opshbbty.dll','');
QuarantineFile('C:\WINDOWS\system32\lpsgajba.exe','');
QuarantineFile('C:\WINDOWS\system32\lpmxajkl.exe','');
QuarantineFile('C:\WINDOWS\system32\ismhasrv.exe','');
QuarantineFile('C:\WINDOWS\system32\hjmh.dll','');
QuarantineFile('C:\WINDOWS\system32\hhrdxd.dll','');
QuarantineFile('C:\WINDOWS\system32\hfrdzx.dll','');
QuarantineFile('C:\WINDOWS\system32\apsgdjba.dll','');
QuarantineFile('zfdzb.dll','');
QuarantineFile('zdbfbd.dll','');
QuarantineFile('zdbdb.dll','');
QuarantineFile('ytjkyer.dll','');
QuarantineFile('yjrfe.dll','');
QuarantineFile('ydgn.dll','');
QuarantineFile('xgnfn.dll','');
QuarantineFile('xfng.dll','');
QuarantineFile('xfgnxfn.dll','');
QuarantineFile('xfgnhcgfm.dll','');
QuarantineFile('xfgnfx.dll','');
QuarantineFile('xdndn.dll','');
QuarantineFile('xdhdg.dll','');
QuarantineFile('xdfntt.dll','');
QuarantineFile('xbcvxb.dll','');
QuarantineFile('wfhyt.dll','');
QuarantineFile('uyjtd.dll','');
QuarantineFile('tjdegtr.dll','');
QuarantineFile('thurh.dll','');
QuarantineFile('thsddh.dll','');
QuarantineFile('sthth.dll','');
QuarantineFile('stehs.dll','');
QuarantineFile('setrhes.dll','');
QuarantineFile('serghjm.dll','');
QuarantineFile('serger.dll','');
QuarantineFile('sehhter.dll','');
QuarantineFile('rhs.dll','');
QuarantineFile('rgghjj.dll','');
QuarantineFile('rdthr.dll','');
QuarantineFile('qrhhb.dll','');
QuarantineFile('oqrthc.dll','');
QuarantineFile('njritc.dll','');
QuarantineFile('mrjhtjd.dll','');
QuarantineFile('mgmgmm.dll','');
QuarantineFile('lariytrz.dll','');
QuarantineFile('kduy.dll','');
QuarantineFile('jzijj.dll','');
QuarantineFile('jyjlt.dll','');
QuarantineFile('jwlah.dll','');
QuarantineFile('jkhjsd.dll','');
QuarantineFile('ijatnaw.dll','');
QuarantineFile('hyjmt.dll','');
QuarantineFile('hkfgh.dll','');
QuarantineFile('hjtdrh.dll','');
QuarantineFile('hjaiq.dll','');
QuarantineFile('hgnmjsdg.dll','');
QuarantineFile('hgfhk.dll','');
QuarantineFile('hfther.dll','');
QuarantineFile('hfjg.dll','');
QuarantineFile('gyjert.dll','');
QuarantineFile('gnfctt.dll','');
QuarantineFile('gmnait.dll','');
QuarantineFile('gjkhj.dll','');
QuarantineFile('ghjkdr.dll','');
QuarantineFile('gfcfg.dll','');
QuarantineFile('fyhje.dll','');
QuarantineFile('fydgky.dll','');
QuarantineFile('fxnfnh.dll','');
QuarantineFile('fxgnfx.dll','');
QuarantineFile('frntrn.dll','');
QuarantineFile('fngn.dll','');
QuarantineFile('fjyjy.dll','');
QuarantineFile('fjnbv.dll','');
QuarantineFile('fhjfg.dll','');
QuarantineFile('ethsh.dll','');
QuarantineFile('ektvm.dll','');
QuarantineFile('dscef.dll','');
QuarantineFile('drghszd.dll','');
QuarantineFile('dnteh.dll','');
QuarantineFile('dhugtj.dll','');
QuarantineFile('dgrgfs.dll','');
QuarantineFile('dfhsh.dll','');
QuarantineFile('dbfb.dll','');
QuarantineFile('crugd.dll','');
QuarantineFile('chmfcmh.dll','');
QuarantineFile('cdxbfxdb.dll','');
QuarantineFile('bnxnb.dll','');
QuarantineFile('bjrvm.dll','');
QuarantineFile('awef.dll','');
QuarantineFile('C:\WINDOWS\System32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\System32\hjmh.dll','');
DeleteFile('C:\WINDOWS\System32\hjmh.dll');
DeleteFile('C:\WINDOWS\System32\ukrth.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('bnxnb.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('crugd.dll');
DeleteFile('dbfb.dll');
DeleteFile('dfhsh.dll');
DeleteFile('dgrgfs.dll');
DeleteFile('dhugtj.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('dscef.dll');
DeleteFile('ektvm.dll');
DeleteFile('ethsh.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjnbv.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('frntrn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('fydgky.dll');
DeleteFile('fyhje.dll');
DeleteFile('gfcfg.dll');
DeleteFile('ghjkdr.dll');
DeleteFile('gjkhj.dll');
DeleteFile('gmnait.dll');
DeleteFile('gnfctt.dll');
DeleteFile('gyjert.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgfhk.dll');
DeleteFile('hgnmjsdg.dll');
DeleteFile('hjaiq.dll');
DeleteFile('hjtdrh.dll');
DeleteFile('hkfgh.dll');
DeleteFile('hyjmt.dll');
DeleteFile('ijatnaw.dll');
DeleteFile('jkhjsd.dll');
DeleteFile('jwlah.dll');
DeleteFile('jyjlt.dll');
DeleteFile('jzijj.dll');
DeleteFile('kduy.dll');
DeleteFile('lariytrz.dll');
DeleteFile('mgmgmm.dll');
DeleteFile('njritc.dll');
DeleteFile('oqrthc.dll');
DeleteFile('qrhhb.dll');
DeleteFile('rdthr.dll');
DeleteFile('rgghjj.dll');
DeleteFile('rhs.dll');
DeleteFile('sehhter.dll');
DeleteFile('serger.dll');
DeleteFile('serghjm.dll');
DeleteFile('setrhes.dll');
DeleteFile('stehs.dll');
DeleteFile('sthth.dll');
DeleteFile('thsddh.dll');
DeleteFile('thurh.dll');
DeleteFile('tjdegtr.dll');
DeleteFile('uyjtd.dll');
DeleteFile('xbcvxb.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdhdg.dll');
DeleteFile('xdndn.dll');
DeleteFile('xfgnfx.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xfgnxfn.dll');
DeleteFile('xfng.dll');
DeleteFile('xgnfn.dll');
DeleteFile('ydgn.dll');
DeleteFile('yjrfe.dll');
DeleteFile('ytjkyer.dll');
DeleteFile('zdbdb.dll');
DeleteFile('zdbfbd.dll');
DeleteFile('C:\WINDOWS\system32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\system32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\system32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\system32\hjmh.dll');
DeleteFile('C:\WINDOWS\system32\ismhasrv.exe');
DeleteFile('C:\WINDOWS\system32\lpmxajkl.exe');
DeleteFile('C:\WINDOWS\system32\lpsgajba.exe');
DeleteFile('C:\WINDOWS\system32\opshbbty.dll');
DeleteFile('C:\WINDOWS\system32\pedadt.dll');
DeleteFile('C:\WINDOWS\system32\swsxachu.dll');
DeleteFile('C:\WINDOWS\system32\ukrth.dll');
DeleteFile('C:\WINDOWS\system32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\system32\zaztamsn.exe');
DeleteFile('C:\WINDOWS\system32\zdesfx.dll');
DeleteFile('C:\WINDOWS\system32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe');
DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Пришлите карантин по правилам,очистите карантин Доктора и повторите логи.
11.06.2008, 13:39
Petro8i4

Спасибо! Но строка 020 не фиксится, она сразу появляется ... точно так же не могу отключить эти файлы из автозагрузки с помощью авз4, удаляю, а они сразу же тут же появляются дублирующие, такого ещё не видел!!!
кстати всё время пишет, что конфликт IP в сети, хотя адрес уникальный!!!
16.06.2008, 17:22
Petro8i4

Не подскажите ли, как можно убить Appinit_dll, я так понимаю, что это библиотеки которые грузятся даже в сейф моде и удалить их из реестра невозможно!!! У меня там целый рассадник и скрипт совсем ничего не изменил!!! Что делать?
16.06.2008, 17:24
akok

Логи подготовить надо. Будем долечивать.
16.06.2008, 18:17
Petro8i4

Буду пытаться успеть сделать проверку ... не успеваю скрипт лечения и сбора информации - виснет наглухо!!! есть ещё способ предоставить инфу? могу выложить хайджекс и простой срипт сбора инфы!
16.06.2008, 19:55
akok

давайте логи которые есть :)
17.06.2008, 09:38
Petro8i4

Всё что успел нарыть ...
вооот ... успел выложить!!!
не знаю как удалить из appinit, жестоко уничтожают систему, каждые три минуты зависает наглухо!!!
17.06.2008, 10:41
PavelA

AVZ надо обновить срочно. Тек. версия 4.30 Она больше покажет.
17.06.2008, 11:01
Petro8i4

Сделал с обновлёнными базами!
17.06.2008, 11:35
PavelA

"Восст. системы" надо отключить.
Для начала попробуем вот этого убить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Если попадет в карантин, то прислать.
17.06.2008, 11:47
Petro8i4

получилось выполнить скрипт сбора и лечения!!!! прогрессс ... восстановление отключил, сейчас попробую выловить гада!

есть в инфектед, залил!
17.06.2008, 13:46
Petro8i4

Пропадаю с первой страницы, жду очень помощи!!!
17.06.2008, 14:45
PavelA

Не бойся, тебя не бросим. AVZ показывает, что "Восст" включено. Не порядок.

AVZ очень много чего побил, попробуй лог лечения сделать еще раз. Если малваре не уйдут, будем убивать скриптом.

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

У тебя Багл завелся. Будем пытаться его вывести. Станд. скрипт для него сейчас выложу.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.[/CODE]

Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ. Их надо будет прислать.

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

wintems.exe - Email-Worm.Win32.Bagle.of по Касперскому.
17.06.2008, 17:24
Petro8i4

скрипт выполнил ... кое-что осталось в appinit и в hookах, комп перестал виснуть, однако, имхо, это ненадолго ... плодятся гады в прогрессии!

вот блин, только что завис ....

есть зависимость зависания от подключения к интернету, сейчас отрубил, вроде бы работает без зависаний!!!

... завтра выложу новые логи...
18.06.2008, 11:53
Petro8i4

вроде бы уничтожил гадов, может что осталось? посмотрите плз!

...не хочет грузится syscheck
18.06.2008, 12:14
PavelA

Вот еще парочку файлов надо проверить:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\yzztimsn.dll','');
QuarantineFile('C:\WINDOWS\system32\mpmyfapi.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришли их.

В AVZ - Сервис - Менеджер расширений IE - удалить те, строчки где файлы отсутствуют.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Перед выполнением скрипта загрузи старый карантин.
18.06.2008, 13:02
Petro8i4

карантин и инфицированные файлы я грохнул утром ...
скрипт сделал, высылаю логи!
на компе стоит NOD32 - матерится частенько, что на компе ещё много вирусов, на всякий случай вышлю его лог (в логе много из того, что авз4 как раз в карантин засунул, но есть кое-что новенькое, чего др. веб не замечает)
18.06.2008, 13:22
PavelA

Win32/PSW.OnLineGames.NOA - вот это прибегает с флешек. Нужно будет менять пароли от онлайн-игр.

hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - это откуда прилетела гадость.

D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - вот это большая пакость.

C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan - вот этого мы вообще не увидели.
18.06.2008, 13:27
Petro8i4

ещё интересная особенность, система не грузится в безопасном режиме.

hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - вот эта гадость переодически вылетает, наверное что-то провоцирует её скачивание ... только запускаешь IE сразу вылетает

D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - эта гадость быстро распространяется, сталкивался, но иногда, благо, просто лечиться, хотя часто выдирается с корнем и файл становится не работоспособным

C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan а вот что с этим делать?

Показывать 40 сообщений этой темы на одной странице