Поймал вирус

Printable View

12.08.2008, 14:31
charth

Вложений: 3

Поймал вирус

Система Windows Server 2003 SP2
Симптомы:
Блокирует диспетчер задач, редактор реестра, загрузку в SafeMode (исключая режим восстановления службы каталогов).
При попытке воспользоваться пакетом администрирования сервера ругается на MS.dll. При загрузке долго выполняет сетевые подключения, не видит никого в сети, с удаленного компьютера его видно, но доступ заблокирован. Нет корректного завершения работы при перезагрузке или выключении (не дождался). Через сетевые диски заразились другие компьютеры, хотя через gpedit.msc было запрещена автозагрузка со всех видов носителей.
Дома перед переустановкой системы (еще не зараженной) проверил что мелькает в диспетчере задач, при подключении зараженной флешки появились 3 процесса:
dppn.pif, rubdll32.exe, notepad.exe, на последний обругался брендмауэр после чего он исчез из процессов.
Также в сетевых дисках были замечены следующие файлы помимо autorun.inf: catttp, hdsh, qwim
AVZ запустился только после переименования каталога и исполняемого файла.
Возможно это случайность, но компьютер с WinXP SP1 и отключенным брендмауэром оказался незараженным:) в отличии от SP2
12.08.2008, 14:45
V_Bond

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oonijs.sys','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
12.08.2008, 14:53
charth

Выполнен карантин файла C:\WINDOWS\svchost.exe
Выполнен карантин файла C:\WINDOWS\services.exe
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
Карантин с использованием прямого чтения - ошибка
Карантин выслал
12.08.2008, 15:17
V_Bond

выполните скрипт ... (будет перезагрузка)
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\oonijs.sys','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
13.08.2008, 08:13
charth

Вложений: 3

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\oonijs.sys)
Карантин с использованием прямого чтения - ошибка
Логи высылаю
13.08.2008, 09:13
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('asc3360pr');
DeleteFile('C:\WINDOWS\system32\drivers\oonijs.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ( авз не забудьте обновить )
13.08.2008, 10:18
charth

Вложений: 2

Выполнил, высылаю логи с п.10, АВЗ обновил
13.08.2008, 13:29
V_Bond

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\system32\drivers\oonijs.sys - force delete
затем скрипт из поста 6 и логи ...
13.08.2008, 14:07
charth

oonijs.sys не обнаружен по данному пути, пробовал искать средствами AVZ даный файл не найден. Скрипты из поста 6 делать?
13.08.2008, 15:01
V_Bond

смысла нет ... похоже его на диске нет ....
авз - сервис - модули пространства ядра - вибирите нужный снимите дамп .... запакуйте и приложите ...
13.08.2008, 16:25
charth

Вложений: 1

Что-то Эксплорер постоянно вешается когда выполняю операции над файлами через проводник, через Far нормально. И постоянно работает жесткий диск, без остановки.
Прилагаю дамп
13.08.2008, 22:58
V_Bond

есть возможность загрузится с сd и поискать файл ?
14.08.2008, 08:06
charth

WinPE попробовать можно.
Удалось запустить CureIT с cd в безопасном режиме (до этого никак не удавалось запустить), нашел множество exe-файлов зараженных вирусом Win32.Sector.9 это не он?
Сейчас почитал в Инете про этот вирус, правда с цифрой 5, похоже у меня более новая модификация. Там советуют
1) Отключение от сети
2) загрузку с LiveCD
3) Лечение CureIT+AviraAntiVir
4) чистка реестра (вариантов несколько)
С первыми 3-мя пунктами проблем не возникнет, а вот насчет 4-го... Боюсь окончательно добить систему, если можно помочь пожалуйста помогите советами, как это сделать наиболее безболезнено.
Хотя может есть и другой путь?
14.08.2008, 09:08
V_Bond

[QUOTE=charth;267304]WinPE попробовать можно.
Удалось запустить CureIT с cd в безопасном режиме (до этого никак не удавалось запустить)
[/QUOTE]
драйвер который не хотел удаляться блокировал запуск большинства антивирусных программ
[QUOTE=charth;267304]
нашел множество exe-файлов зараженных вирусом Win32.Sector.9 это не он?
[/QUOTE]
проверка cureit из пож сd - самый лучший вариант ...
после сделайте логи ....
22.02.2009, 07:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan-Proxy.Win32.Small.rp[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]