service.exe и прочие

Printable View

22.08.2008, 23:15
makstor

Вложений: 3

service.exe и прочие

Здравствуйте. Сегодня компьютер посетил вирус, пропущеный НОДом со спокойной совестью (из серии "Spyware detected on your system"). Был немного подлечен, однако потом продолжилось творится страшное. Процесс service.exe многократно размножался. После его убийства иногда всплывает в автозагрузке и при этом профиль не грузится. При правке автозагрузки и перезагрузке системы комп загружается и НОД сразу ругается на вирус Win32/Wigon в system32\drivers. Прошу помочь разобраться и исправить ситуацию.
Примечание: логи были сделаны при удаленном подключении.
23.08.2008, 00:17
Numb

А подключение из консоли к данной машине возможно? На время выполнения скриптов машину крайне желательно отключить от сети.
Если возможно, то подключайтесь, на время выполнения скриптов, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строку [code]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windh04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winna11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winob48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Mbh14.sys');
DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
BC_DeleteFile('C:\Documents and Settings\Ирина\Local Settings\Temp\loader.exe');
DeleteService('Winob48');
DeleteService('Winna11');
DeleteService('Windh04');
DeleteService('Mbh14');
DeleteService('WZCSVCdmadmin');
DeleteService('VSSRasAuto');
DeleteService('RasManProtectedStorage');
DeleteService('PolicyAgentRpcLocator');
DeleteService('NetDDEdsdmlanmanserver');
DeleteService('mnmsrvcPlugPlay');
DeleteService('DnscacheNetman');
DeleteService('ClipSrvwscsvc');
DeleteService('BrowserEventlog');
BC_DeleteSVC('Winob48');
BC_DeleteSVC('Winna11');
BC_DeleteSVC('Windh04');
BC_DeleteSVC('Mbh14');
BC_DeleteSVC('WZCSVCdmadmin');
BC_DeleteSVC('VSSRasAuto');
BC_DeleteSVC('RasManProtectedStorage');
BC_DeleteSVC('PolicyAgentRpcLocator');
BC_DeleteSVC('NetDDEdsdmlanmanserver');
BC_DeleteSVC('mnmsrvcPlugPlay');
BC_DeleteSVC('DnscacheNetman');
BC_DeleteSVC('ClipSrvwscsvc');
BC_DeleteSVC('BrowserEventlog');
DeleteService('Windh04');
BC_DeleteSVC('Windh04');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=28737[/url] , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил. Логи крайне желательно тоже сделать из консольной сессии.
23.08.2008, 14:24
makstor

к сожалению, связь с зараженной машиной прервалась, поэтому все выполню завтра при непосредственном общении с оной;), со всеми дополительными условиями. Прошу простить за задержку и немного подождать.
25.08.2008, 16:11
makstor

Вложений: 3

Скрипты выполнены в соответствии с правилами (никакого удаленного доступа, непосредственно за зараженной машиной), карантин загружен, прилагаю новые логи. Покорнейше благодарю и жду дальнейших указаний;)
26.08.2008, 13:33
Numb

Пропустили ваши логи, извините :(
Пофиксите с помощью Hijackthis строки: [code]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelWinlogonNotifyByKeyName('WinCtrl32');
deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
BC_deletefile('C:\Documents and Settings\Ирина\Рабочий стол\Дрова\рук карантин\Windh04.sys');
DeleteService('stisvcseclogon');
DeleteService('SENSSENSupnphost');
DeleteService('SENSSENS');
DeleteService('lanmanserverRemoteAccess');
DeleteService('BITSLmHosts');
BC_DeleteSVC('stisvcseclogon');
BC_DeleteSVC('SENSSENSupnphost');
BC_DeleteSVC('SENSSENS');
BC_DeleteSVC('lanmanserverRemoteAccess');
BC_DeleteSVC('BITSLmHosts');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] После перезагрузки, повторите логи, начиная с п. 10 правил.
27.08.2008, 09:53
makstor

Вложений: 3

все сделано. вот новые логи. жду заключения уважаемых специалистов:)
27.08.2008, 10:55
Rene-gad

В логах чисто.
Нужно поставить Сервис Пак 3. Возможно потребуется активация системы.
Какие еще проблемы замечаете?
27.08.2008, 11:21
makstor

Проблемы вроде все разрешились, SP3 попробую воткнуть в ближайшее время, да и НОД разочаровывает все больше и больше:(. Наверное придется заменить на какой нибудь более надежный продукт.
В любом случае всем огромешное спасибо за помощь:)
22.02.2009, 07:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ирина\\local settings\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Mutant.ayq[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ays[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]