сидит какая-то гадость

Printable View

17.06.2008, 10:22
VladMS

Вложений: 3

сидит какая-то гадость

Уважаемые хелперы посмотрите плиз логи, сидит какая-то гадость, лезет в
в интернет и антивирусом не удаляется.
17.06.2008, 11:41
Numb

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью hijackthis строки: [code]O4 - HKLM\..\RunServices: [Windows USB Monitor] servupdate.exe
O4 - HKLM\..\RunServices: [Internet Security Service] mysqlwin32.exe
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe (User 'SYSTEM')[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}');
DelBHO('{1E988335-1620-4261-80BC-CB2C150C32C4}');
QuarantineFile('awtrQGaw.dll','');
QuarantineFile('C:\WINDOWS\rundll32.exe','');
QuarantineFile('C:\WINDOWS\System32\servupdate.exe','');
QuarantineFile('C:\WINDOWS\System32\mysqlwin32.exe','');
QuarantineFile('C:\WINDOWS\System32\msmsgs.exe','');
QuarantineFile('C:\WINDOWS\System32\mdm.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\ser2pl.sys','');
QuarantineFile('C:\WINDOWS\System32\geBqQGvU.dll','');
QuarantineFile('C:\WINDOWS\System32\awtrQGaw.dll','');
DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll');
BC_DeleteFile('C:\WINDOWS\System32\awtrQGaw.dll');
DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll');
BC_DeleteFile('C:\WINDOWS\System32\geBqQGvU.dll');
DeleteFile('AccessSharing.sys');
DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
BC_DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe');
BC_DeleteFile('C:\WINDOWS\System32\mysqlwin32.exe');
DeleteFile('C:\WINDOWS\System32\servupdate.exe');
BC_DeleteFile('C:\WINDOWS\System32\servupdate.exe');
DeleteFile('C:\WINDOWS\rundll32.exe');
BC_DeleteFile('C:\WINDOWS\rundll32.exe');
DeleteFile('awtrQGaw.dll');
BC_DeleteFile('awtrQGaw.dll');
BC_DeleteSvc('AccessSharing');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=24729[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
В дополнение: вот с этим: [code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]лечиться будете постоянно. Крайне рекомендуется поставить SP3 + все последующие дополнения. Имейте в виду, что, после установки SP3, вполне возможно, потребуется повторная активация Windows.
17.06.2008, 13:21
VladMS

Вложений: 2

Спасибо.
Указанные строки пофиксил.
Скрипт выполнил.
Карантин отправил.
Новые логи вложил.
17.06.2008, 16:16
Numb

То, что пришло:
awtrQGaw.dll, geBqQGvU.dll - [b]Trojan.Win32.Monder.gen[/b]
mdm.exe - [b]Trojan.Win32.Buzus.fqj[/b]
msmsgs.exe, rundll32.exe - [b]Backdoor.Win32.IRCBot.cxs[/b]
mysqlwin32.exe - [b]Backdoor.Win32.Rbot.bng[/b]
servupdate.exe - [b]Backdoor.Win32.Rbot.jtf[/b]
(по классификации лаборатории Касперского)
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью hijackthis строки:[code]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {644BAE04-4C27-474C-90F2-A5C2E9026451} - C:\WINDOWS\System32\geBqQGvU.dll (file missing)
O2 - BHO: (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\WINDOWS\System32\awtrQGaw.dll (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [18864874] rundll32.exe "C:\WINDOWS\System32\mjmgjsuy.dll",b
O4 - HKLM\..\Run: [BM1bb57be8] Rundll32.exe "C:\WINDOWS\System32\dfpdkkro.dll",s
O20 - Winlogon Notify: awtrQGaw - C:\WINDOWS\[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6584C510-924B-486A-A1A0-E380DE08C2DB}');
DelBHO('{644BAE04-4C27-474C-90F2-A5C2E9026451}');
QuarantineFile('mysqlwin32.exe','');
QuarantineFile('C:\WINDOWS\System32\mjmgjsuy.dll','');
QuarantineFile('C:\WINDOWS\System32\dfpdkkro.dll','');
DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll');
BC_DeleteFile('C:\WINDOWS\System32\dfpdkkro.dll');
DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll');
BC_DeleteFile('C:\WINDOWS\System32\mjmgjsuy.dll');
DeleteFile('mysqlwin32.exe');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=24729[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
17.06.2008, 16:59
VladMS

Вложений: 2

Спасибо огромное.
Строки пофиксил.
Карантин отправил.
Скрипт выполнил.
Новые логи...
17.06.2008, 17:13
Numb

Да... Написать - написал, а удалить забыл :( Выполните еще один скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\mdm.exe');
BC_DeleteFile('C:\WINDOWS\System32\mdm.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, логи еще раз, начиная с п. 10 правил, повторите, пожалуйста.
17.06.2008, 17:33
VladMS

Вложений: 2

Спасибо...
Скрипт выполнил.
Новые логи...
17.06.2008, 17:54
Numb

Я больше ничего плохого не вижу. Какие-нибудь симптомы заражения остались?
В дополнение: во-первых, был подменен как минимум один системный файл (оригинальный mdm.exe). Крайне рекомендуется провести проверку системных файлов ( запускается командой sfc /scannow или sfc /scanonce (во втором случае, проверка будет произведена при перезагрузке)). Проверка, почти наверняка, потребует оригинальный установочный диск Windows.
Во-вторых,ваша главная проблема - XP SP1. На такой ОС вы будете заражаться регулярно. Крайне рекомендуется поставить SP3 + последующие обновления. Вероятнее всего, после установки сервис-пака, потребуется повторная активация Windows.
18.06.2008, 07:21
VladMS

Да нет, теперь , вроде, все нормально.
Проверку системных файлов обязательно проведу и поставлю SP3.
А то развелся ну прямо "зверинец"...
Спасибо огромное за помощь...и за то, что Вы (и хелперы и ресурс) есть...
22.02.2009, 05:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\rundll32.exe - [B]Backdoor.Win32.IRCBot.cxs[/B] (DrWEB: BackDoor.IRC.Sdbot.3663)[*] c:\\windows\\system32\\awtrqgaw.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.12)[*] c:\\windows\\system32\\gebqqgvu.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.368)[*] c:\\windows\\system32\\mdm.exe - [B]Trojan.Win32.Buzus.fqj[/B] (DrWEB: Trojan.Inject.3464)[*] c:\\windows\\system32\\mjmgjsuy.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.12)[*] c:\\windows\\system32\\msmsgs.exe - [B]Backdoor.Win32.IRCBot.cxs[/B] (DrWEB: BackDoor.IRC.Sdbot.3663)[*] c:\\windows\\system32\\mysqlwin32.exe - [B]Backdoor.Win32.Rbot.bng[/B] (DrWEB: BackDoor.IRC.Sdbot.3664)[*] c:\\windows\\system32\\servupdate.exe - [B]Backdoor.Win32.Rbot.jtf[/B][/LIST][/LIST]