Снова виртумонде и М64

Printable View

28.08.2008, 14:44
Васильев Макс

Вложений: 3

Снова виртумонде и М64

Симптомы как и у всех. Помогите плз. Логи:
28.08.2008, 15:01
Bratez

[b]Отключите восстановление системы![/b]
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winim14.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winim14.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr');
BC_ImportALL;
BC_DeleteSvc('Winim14');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29142[/url]).
Сделайте новые логи, начиная с п.10 правил.
28.08.2008, 15:58
Васильев Макс

Вложений: 3

Скрипт выполнил. Карантин выслан. Логи:
Что дальше?
28.08.2008, 16:14
Bratez

1. Повторяю:
[COLOR=red][b]Отключите восстановление системы![/b][/COLOR]

[COLOR=black]2. С помощью Ice Sword, как написано здесь:[/COLOR]
[URL]http://virusinfo.info/showthread.php?t=17228[/URL]
удалите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winim14.sys

3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr');
DeleteFile('C:\WINDOWS\system32\lphc5fdj0eece.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winim14.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Сделайте новые логи, [B]начиная с п.10 правил[/B].
29.08.2008, 10:00
Васильев Макс

Вложений: 3

Всё выполнил, заметил, что восстановление системы само вроде периодически включается, хотя я его выключал и в первый раз.
Логи:
29.08.2008, 10:17
Bratez

Выполните такой скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('dwshd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\dwshd.sys','');
DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr');
DeleteFile('C:\WINDOWS\system32\lphc5fdj0eece.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winlw58');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
29.08.2008, 10:29
Васильев Макс

Карантин выслал. Что дальше?
На рабочем столе сейчас "Виндовс варнинг месседж" не появляется, только при загруке и выходе из системы. Восстановление системы тоже вроде не включается само.
29.08.2008, 11:03
Rene-gad

Скачайте Malwarebytes Antimalware, скан, ничего не удалять, лог - в студию.
29.08.2008, 11:51
Васильев Макс

Вложений: 1

Вот лог:
29.08.2008, 12:19
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wpx2.cpx','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
QuarantineFile('C:\WINDOWS\system32\wpx1.cpx','');
QuarantineFile('C:\WINDOWS\system32\wpx2.cpx','');
QuarantineFile('C:\WINDOWS\system32\wpx37.cpx','');
QuarantineFile('C:\WINDOWS\system32\lich.dat','');
QuarantineFile('C:\WINDOWS\system32\phc5fdj0eece.bmp','');
QuarantineFile('C:\WINDOWS\Temp\BN1.tmp','');
QuarantineFile('C:\WINDOWS\Temp\.tt2.tmp','');
QuarantineFile('C:\WINDOWS\Temp\.tt3.tmp','');
QuarantineFile('C:\WINDOWS\Temp\.tt4.tmp','');
QuarantineFile('C:\WINDOWS\Temp\.tt5.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt1.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt2.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt3.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt4.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt5.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt6.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt7.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt8.tmp','');
QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt9.tmp','');
DeleteFile('C:\WINDOWS\system32\wpx2.cpx');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
DeleteFile('C:\WINDOWS\system32\shell31.dll');
DeleteFile('C:\WINDOWS\system32\wpx1.cpx');
DeleteFile('C:\WINDOWS\system32\wpx2.cpx');
DeleteFile('C:\WINDOWS\system32\wpx37.cpx');
DeleteFile('C:\WINDOWS\system32\lich.dat');
DeleteFile('C:\WINDOWS\system32\phc5fdj0eece.bmp');
DeleteFile('C:\WINDOWS\Temp\BN1.tmp');
DeleteFile('C:\WINDOWS\Temp\.tt2.tmp');
DeleteFile('C:\WINDOWS\Temp\.tt3.tmp');
DeleteFile('C:\WINDOWS\Temp\.tt4.tmp');
DeleteFile('C:\WINDOWS\Temp\.tt5.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt1.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt2.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt3.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt4.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt5.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt6.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt7.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt8.tmp');
DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt9.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
22.02.2009, 07:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan.Win32.Agent.xna[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\lphc5fdj0eece.exe - [B]Backdoor.Win32.Frauder.bu[/B] (DrWEB: Trojan.Packed.619)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aza[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]