Полечил комп, подозрения остались

Printable View

11.07.2008, 08:59
Yurii

Полечил комп, подозрения остались

Логи:
11.07.2008, 09:06
Yurii

c:\windows\system32\kdcde.exe опознается DrWEB как Trojan.Virtumod.based.22, Касперским как Trojan.Win32.Monder.gen
Вирус удалил и пофиксил реестр.

Закачал карантин: 080711_000017_virus_4876e8e17cc80.zip

PS: virustotal все файлы из карантина считает чистыми
11.07.2008, 11:31
PavelA

К сожалению, тут еще есть кучка.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msv1_0.dll','');
QuarantineFile('c:\6r870m.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\kdcde.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agl28.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\kdcde.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('c:\6r870m.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Профиксить:
[CODE]
O4 - HKLM\..\Run: [advap32] "c:\6r870m.exe" /r
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdcde.exe] C:\WINDOWS\system32\kdcde.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
[/CODE]

Загрузить карантин. сделать новые логи.
11.07.2008, 11:50
Yurii

Логи сделал, карантин закачал.
11.07.2008, 12:27
PavelA

Вот эта парочка еще похоже жива:
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe

Сейчас нарисую скрипт для их помещения в карантин и удаления.
11.07.2008, 13:41
Yurii

[quote=PavelA;254066]Вот эта парочка еще похоже жива:
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe

Сейчас нарисую скрипт для их помещения в карантин и удаления.[/quote]

Не надо. Это осталось из-за того, что секция "Пофиксить" появилась после того, как я начал делать логи. Сейчас все чисто. Спасибо!
11.07.2008, 13:56
PavelA

Логи для завершения нашей работы сделай все же. Не могу я тебя выписать из лечебницы без них.