Printable View
Добрый день.
На компе наблюдается повышенный траффик, что то удалило exeшник Касперского. [URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"][COLOR=black]Dr. Web CureIt![/COLOR][/URL] находит internat.exe, llbjyn32bb.dll, lljyn0812221.exe. При попытке их удалить/вылечить, windows больше не пускается, помогает только загрузка последней удачной конфигурации. В безопасном режиме комп не загружается.....
Логи во вложении...
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\internat.exe','');
QuarantineFile('WinTcpip.exe','');
QuarantineFile('C:\WINDOWS\system32\MN\0001.exe','');
QuarantineFile('C:\WINDOWS\system32\RiSinge.exe','');
QuarantineFile('C:\WINDOWS\system32\notgs.exe','');
DeleteService('SeagateSyncServica');
StopService('SeagateSyncServica');
QuarantineFile('C:\WINDOWS\system32\im.exe','');
QuarantineFile('C:\Program Files\Remote\Remote.exe','');
QuarantineFile('C:\WINDOWS\system32\takfl.exe','');
QuarantineFile('C:\WINDOWS\system32\tasasn.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys','');
QuarantineFile('C:\WINDOWS\system\llbjyn32bb.dll','');
QuarantineFile('c:\windows\system32\wbem\internat.exe','');
TerminateProcessByName('c:\windows\system32\wbem\internat.exe');
QuarantineFile('c:\windows\system32\mn\0001.exe','');
TerminateProcessByName('c:\windows\system32\mn\0001.exe');
DeleteFile('c:\windows\system32\mn\0001.exe');
DeleteFile('c:\windows\system32\wbem\internat.exe');
DeleteFile('C:\WINDOWS\system\llbjyn32bb.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
DeleteFile('C:\WINDOWS\system32\im.exe');
DeleteFile('C:\WINDOWS\system32\MN\0001.exe');
DeleteFile('WinTcpip.exe');
DeleteFile('G:\internat.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Карантин отправила... Логи делаю
Карантин отправила, логи во вложении...
Аууууу..... Где ВЫ помощники??
Ребята, помогите... Что дальше делать???
Не надо волноваться, помогем. ;) Сейчас же у многих "корперативы" идут. :)
Ответа по карантину пока нет.
Профиксить:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Policies\Explorer\Run: [llajyn_df] C:\WINDOWS\system\lljyn081221.exe
O4 - Startup: BIRTHDAY! millennium.lnk = C:\Program Files\BIRTHDAY\BIRTHDAY.EXE[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\BIRTHDAY\BIRTHDAY.EXE','');
BC_DeleteSvc('tasasn');
BC_DeleteSvc('takfl');
QuarantineFile('C:\Program Files\Remote\Remote.exe','');
QuarantineFile('C:\WINDOWS\system32\RiSinge.exe','');
QuarantineFile('c:\windows\system32\iasapi.dll','');
QuarantineFile('C:\WINDOWS\system\llbjyn32bb.dll','');
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL','');
DeleteFile('C:\WINDOWS\system\llbjyn32bb.dll');
DeleteFile('C:\Program Files\BIRTHDAY\BIRTHDAY.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить новый карантин.
Сделать новые логи.
Карантин отправила, логи во вложении
'C:\Program Files\Remote\Remote.exe' - Backdoor.Win32.Hupigon.fhaq
'c:\windows\system32\iasapi.dll' - подозревают 6 из 24 на ВТ
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('system#@');
BC_DeleteSvc('notgs');
SetServiceStart('notgs', 4);
DeleteFile('c:\windows\system32\iasapi.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
DeleteFile('C:\WINDOWS\system32\notgs.exe');
DeleteFile('C:\Program Files\Remote\Remote.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать новые логи.
Логи сделала.... во вложении....
Ребята.... Проверьте логи плиз....
Ребята... Ау... Где Вы???
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 43 минуты[/I][/B][/color][/size]
Ребята... Ау... Где Вы???
Скачать IceSword. Через него найти и удалить:
'C:\WINDOWS\system32\Drivers\zgpbyuh.sys
Затем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\zgpbyuh.sys');
BC_DeleteSvc('zgpbyuh');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этого сделать новые логи.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\remote\\remote.exe - [B]Backdoor.Win32.Hupigon.fhaq[/B] (DrWEB: Trojan.MulDrop.29401)[*] c:\\windows\\system\\llbjyn32bb.dll - [B]Worm.Win32.AutoRun.vil[/B] (DrWEB: Trojan.DownLoad.26372)[*] c:\\windows\\system32\\drivers\\zgpbyuh.sys - [B]Backdoor.Win32.Agent.wlo[/B] (DrWEB: Trojan.NtRootKit.2529)[*] c:\\windows\\system32\\iasapi.dll - [B]Trojan.Win32.MMM.hn[/B][*] c:\\windows\\system32\\mn\\0001.exe - [B]Backdoor.Win32.Small.hah[/B] (DrWEB: Trojan.DownLoad.25680)[*] c:\\windows\\system32\\wbem\\internat.exe - [B]not-a-virus:WebToolbar.Win32.VB.a[/B] (DrWEB: Win32.HLLW.Autoruner.5279)[*] g:\\autorun.inf - [B]Worm.Win32.AutoRun.dej[/B][*] g:\\internat.exe - [B]not-a-virus:WebToolbar.Win32.VB.a[/B] (DrWEB: Win32.HLLW.Autoruner.5279)[/LIST][/LIST]