backdoor.maosboot

Printable View

20.06.2008, 16:26
Maximus_1982

backdoor.maosboot

3 дня назад свежескачанный cureit промолчал.. а сенгодня окно что мол у вас вирус скачайте мол прогу.. и ссылки на порно сайты на рабочий стол так и валятся.. скачал свежий.. опа нашел :) только повисает намертво при лечении ибо сам заразиться успевает.. вопрос как логи то перекинуть с avz.. на флешке можно ли?
20.06.2008, 16:27
Макcим

Можно.
20.06.2008, 16:29
kps

Логи надо прикрепить к сообщению. Они должны быть с зараженного компьютера, а зачем их на флешку? Если нет доступа в интернет на зараженном компьютере, то можно на флешке перекинуть их на другой - и потом прикрепить сюда.
20.06.2008, 17:15
Maximus_1982

Вложений: 3

ну что прикрепить это понятно.. собстенно зараженное все хайджек и авз увидел.. да и темы тут были похожие.. прикрепил логи.. скрипты сам пока боюсь писать :)
20.06.2008, 17:24
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\qtfxay.exe','');
QuarantineFile('C:\WINDOWS\system32\sistray.EXE','');
QuarantineFile('C:\WINDOWS\system32\lphc9gvj0e3v2.exe','');
QuarantineFile('C:\WINDOWS\system32\kdgwj.exe','');
QuarantineFile('C:\WINDOWS\SiSUSBrg.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\olpjmk.sys','');
QuarantineFile('C:\Documents and Settings\user\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\user\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\olpjmk.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\kdgwj.exe');
DeleteFile('C:\WINDOWS\system32\lphc9gvj0e3v2.exe');
DeleteFile('c:\qtfxay.exe');
BC_ImportALL;
SysCleanAddFile('kdgwj.exe');
ExecuteSysClean;
BC_DeleteSvc('aic32p');
BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25008[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Очистите временные папки и кеш браузера.
Сделайте новые логи.
+ Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
20.06.2008, 20:32
Maximus_1982

gmer log
20.06.2008, 20:37
Maximus_1982

Вложений: 1

попытка №2 :)
20.06.2008, 20:41
Maximus_1982

Файл сохранён как080620_114047_virus_485bdd8f3d201.zipРазмер файла272257MD5d53fc262ac098e03d23058fa743e0af1
20.06.2008, 20:43
kps

А новые логи по правилам?
И еще, Вам лучше сделать полную проверку CureIt!'ом. Он этот MaosBoot лечил?
20.06.2008, 20:45
Maximus_1982

Вложений: 1

вот лог, сканирования включил.. при лечении он сказал что куреит заражен и завис намертво.. поставил на сканирование завтра посмотрим..
21.06.2008, 17:12
Maximus_1982

Вложений: 1

новые логи.. выходит синий экран смерти.. комп показывает экран загрузки винды однако это не так и если нажать esc то рабочий стол открывается нормалльный.. во время сканирования такое раз 20 было.. куреит не нашел ничего.. авз тоже ничего подозрительного не выдал..
21.06.2008, 17:27
Maximus_1982

хм.. по логам авз удалил все из автозапуска.. рабочий стол восстановил.. вроде бы все ок.. сканю все поновой :)
21.06.2008, 17:32
Alex_Goodwin

Cудя по логу gmer синовал жив:
[QUOTE]Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950e4c1 size 0x1e4
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR[/QUOTE]

fixmbr сможете выполнить?
21.06.2008, 19:41
Maximus_1982

конечно..

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

да этого на компе был sector.5.. был излечен и установлен дрвеб.. потом - это окно что мол вирус и скачать прогу.. видимо юзер нажал скачать?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 44 минуты[/I][/B][/color][/size]

все равно gmer тоже самое выдает.. буду форматировать ставить все заново :)
21.06.2008, 20:41
kps

[url]http://support.microsoft.com/kb/314058/ru[/url] fixmbr делали?
22.06.2008, 10:40
Maximus_1982

да! - не помогло

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

о только что sector.5 стал находиться как ***.exe.tmp:? мутация за пару дней? :O
22.06.2008, 13:35
kps

Попробуйте fixboot
22.02.2009, 06:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]