Прошу помощи в борьбе с Mutant

Printable View

08.09.2008, 19:01
cruiser33

Вложений: 3

Прошу помощи в борьбе с Mutant

Здравствуйте все. Второй день борюсь с одной из версий Mutant.
Во всех эккаунтах не грузится explorer, но стартует из Task managera.
Прошу помощи, а то завтра в отпуск... не отпустят:(
08.09.2008, 19:15
drongo

отключить аваст вместе сo спайботом, иначе в отпуск уйдёте через 10 лет ;) ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=17109]сначала нужно скопировать ледяным мечём
[/url]
C:\WINDOWS\system32\Drivers\Winms05.sys
C:\WINDOWS\system32\WinCtrl32.dll

Только после того как копии уже под паролем , удалите с помощью force delete (нажмите по ним правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да"):
C:\WINDOWS\system32\Drivers\Winms05.sys
C:\WINDOWS\system32\WinCtrl32.dll

Пофиксить в hijackthis
[code]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/code]

, не перегружаясь выполнить скрипт в avz:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Oviont Inform\B2W\B2\B2UnRegComp.exe','');
QuarantineFile('C:\WINDOWS\Temp\8.tmp','');
QuarantineFile('C:\WINDOWS\system32\sysservice.exe','');
QuarantineFile('C:\windows\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winms05.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winms05.sys');
DeleteFile('C:\windows\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\sysservice.exe');
DeleteFile('C:\WINDOWS\Temp\8.tmp');
DeleteService('Winms05');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(2);
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус / Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [url=http://virusinfo.info/upload_virus.php?tid=29812]Прислать запрошенный карантин[/url] (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
08.09.2008, 19:47
cruiser33

Увы. После выполнения скрипта не могу залогиниться в систему. В save mode тоже.
08.09.2008, 19:57
Rene-gad

[QUOTE=cruiser33;280921]Увы. После выполнения скрипта не могу залогиниться в систему. В save mode тоже.[/QUOTE]
последняя рабочая конфигурация?
08.09.2008, 20:02
cruiser33

тоже мертва
08.09.2008, 20:06
Rene-gad

Вы наверно антивирус перед выполнением скрипта не отключили[QUOTE=cruiser33;280934]тоже мертва[/QUOTE]дистрибутив под рукой есть?
08.09.2008, 20:06
cruiser33

Со словами "Неполадка помешала Windows проверить лицензию для этого компьютера. Код ошибки 0x80070002" уходит в повторный логин

[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]

конечно.
08.09.2008, 20:11
Rene-gad

Попробуйте
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe[/CODE]
Вместо Х - буква сидюка.
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
08.09.2008, 20:37
cruiser33

загрузился администратором в save mode. Пишу логи.
Спасибо за expand. Кстати он не требует указания destination file.name кстати, только папка.
08.09.2008, 20:40
Rene-gad

[QUOTE=cruiser33;280948]
Спасибо за expand. Кстати он не требует указания destination file.name кстати, только папка.[/QUOTE]
точно, спасибо :D Я просто команду из другой переделывал. В принципе я не люблю файлы с дистри восстанавливать, если Сервис Паки ставились, то они там не [I]последней свежести[/I] ;) .
08.09.2008, 21:09
cruiser33

Вложений: 1

avz отваливается в процессе выполнения второго скрипта.
08.09.2008, 21:25
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{EA3775F2-28BE-11D3-9C8D-00105A24ED29}');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\IcnOvrly.dll','');
DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\IcnOvrly.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки попробуйте войти в нормальном режиме и повторить логи.
Антивирус - если не удастся выключить - можно и снести. Тут скорее всего произошел конфликт антируткита АВЗ с монитором Аваста
08.09.2008, 21:30
cruiser33

Avast уже снес.
08.09.2008, 22:26
cruiser33

Вложений: 3

кажется все?
08.09.2008, 23:17
V_Bond

ничего плохого ....
09.09.2008, 13:40
cruiser33

Большое спасибо всем специалистам!
22.02.2009, 07:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\oembios.exe - [B]Trojan-Spy.Win32.Zbot.esc[/B] (DrWEB: Trojan.PWS.Panda.13)[*] c:\\windows\\system32\\sysservice.exe - [B]Backdoor.Win32.Agent.rfc[/B] (DrWEB: Trojan.DownLoad.4474)[*] c:\\windows\\temp\\8.tmp - [B]Backdoor.Win32.Agent.rfc[/B] (DrWEB: Trojan.DownLoad.4474)[/LIST][/LIST]