Xorer.cy как поймать?

Printable View

27.10.2008, 16:03
sT_Tom

Вложений: 1

Xorer.cy как поймать?

Здравствуйте!
В сети 5 компов, переодически в браузере всплывают баннеры с иероглифами и "веселыми пингвинами" :D,сеть тормозит,окна открываются не с первого раза (необходимо обновлять страницу, чтобы он запустилась), проверял все компы с загрузочного диска, который сделал Касперским Интернет Секьюрити 2009, на нескольких компах обнаружился вирус [COLOR=black]Win32.[B]Xorer[/B].[B]cy. [/B]День прошел без пингвинов, затем все заново, опять пингвины, опять система тормозит. Компы в одной подсети, выходят в интернет через один шлюз, на котором стоит Unix. Как поймать заразу и предотвратиь дальнейшее заражение? [/COLOR]
Заранее благодарен.
27.10.2008, 17:41
Гриша

[url]http://virusinfo.info/showthread.php?t=1235[/url]
27.10.2008, 17:56
sT_Tom

Снимать информацию со всех 5 компов?
27.10.2008, 18:02
Гриша

Ну да, это не долго...
28.10.2008, 11:56
sT_Tom

Вложений: 3

1ый компьютер
28.10.2008, 12:06
PavelA

Только одна просьба: не валите логи всех компьютеров в одну тему. Этот - зараженный.
28.10.2008, 12:10
sT_Tom

скажите как поступить?...5 компьютеров..5 тем создавать?
28.10.2008, 12:31
PavelA

Да...
28.10.2008, 16:11
sT_Tom

хорошо, понял...а с этим то компом что делать?
28.10.2008, 16:20
PavelA

Выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
QuarantineFile('C:\WINDOWS\system32\oobe\msoobe.exe.tmp','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.[/CODE]

Загрузить карантин.

Сделать новые логи. + прислать 'boot_clr.log'
29.10.2008, 09:35
sT_Tom

Вложений: 4

Вот
29.10.2008, 10:07
Гриша

Почитайте правила как присылать карантин!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - AppInit_DLLs: C:\WINXP\system32\dnsq.dll[/CODE]

Повторите логи...
29.10.2008, 11:25
sT_Tom

Вложений: 3

Звиняюсь за карантин, залил нормально
29.10.2008, 12:28
PavelA

'C:\WINDOWS\system32\oobe\msoobe.exe.tmp' - Hacktool по Симантеку.
Надо удалить.
29.10.2008, 14:11
sT_Tom

удалил
30.10.2008, 09:18
sT_Tom

нужно мне еще раз логи скидывать?
30.10.2008, 10:55
PavelA

Думается, что нет. Считаем, что лечение закончено.

самое интересное, что ЛК в этом файле ничего зловредного не нашла.
31.10.2008, 06:48
sT_Tom

а каковы функции этой библиотеки dnsq.dll ?
31.10.2008, 10:59
Гриша

пароли ворует...