IEMonster.b и не только

Printable View

10.03.2009, 20:59
Dieman

Вложений: 3

IEMonster.b и не только

Здравствуйте,

Подцепил IEMonster (тот который назойливо требует установить "антивирус", запрещает доступ к task manager и т.д.

Стал лечить Касперским Virus Removal Tool'ом - не вылечивается. Кроме того поxоже, что там еще кто-то сидит. Симптомы такие:
- Машина не грузится в safe mode - мелькает "голубая маска смерти" и снова уxодит на перезагрузку.
- Невозможно установить Kaspersky Antivirus - происxодит сбой во время установки.

Было бы здорово прочистить весь этот рассадник. Логи прилагаю.

Заранее благодарен,

Дмитрий
10.03.2009, 21:14
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\cygwin\bin\cyggettextpo-0.dll','');
QuarantineFile('C:\0xf9.exe','');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
QuarantineFile('sndcfg16.exe','');
QuarantineFile('C:\WINDOWS\system32\winlogin.exe','');
QuarantineFile('C:\WINDOWS\system32\msupdate.exe','');
DeleteService('sojuscsi');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys','');
DeleteService('naecd');
TerminateProcessByName('c:\windows\system32\wintems.exe');
QuarantineFile('c:\windows\system32\wintems.exe','');
TerminateProcessByName('c:\program files\microsoft security adviser\msscan.exe');
QuarantineFile('c:\program files\microsoft security adviser\msscan.exe','');
TerminateProcessByName('c:\program files\microsoft security adviser\mssadv.exe');
QuarantineFile('c:\program files\microsoft security adviser\mssadv.exe','');
TerminateProcessByName('c:\program files\microsoft security adviser\msiemon.exe');
QuarantineFile('c:\program files\microsoft security adviser\msiemon.exe','');
TerminateProcessByName('c:\program files\microsoft security adviser\msavsc.exe');
QuarantineFile('c:\program files\microsoft security adviser\msavsc.exe','');
TerminateProcessByName('c:\windows\system32\drivers\hidr.exe');
TerminateProcessByName('c:\program files\microsoft security adviser\msfw.exe');
QuarantineFile('c:\program files\microsoft security adviser\msfw.exe','');
QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('c:\program files\microsoft security adviser\msfw.exe');
DeleteFile('c:\program files\microsoft security adviser\msavsc.exe');
DeleteFile('c:\program files\microsoft security adviser\msiemon.exe');
DeleteFile('c:\program files\microsoft security adviser\mssadv.exe');
DeleteFile('c:\program files\microsoft security adviser\msscan.exe');
DeleteFile('c:\windows\system32\wintems.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msavsc.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msctrl.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msfw.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msiemon.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msscan.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFile('C:\DOCUME~1\DIMA~1.DIM\LOCALS~1\Temp\naecd.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\sojuscsi.sys');
DeleteFile('C:\WINDOWS\system32\msupdate.exe');
DeleteFile('C:\WINDOWS\system32\winlogin.exe');
DeleteFile('sndcfg16.exe');
DeleteFile('C:\0xf9.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
11.03.2009, 00:20
Dieman

Вложений: 3

Спасибо, IEMonster кажется погиб. Компьютер снова работает нормально (для невооруженного глаза).

Большая просьба посмотреть, что там есть еще (в логе я видел как минимум еще Downloader.Win32.Zlob)

Карантин и повторные логи отослал.
12.03.2009, 10:54
Dieman

Еще раз добрый день,

1) После (успешного) извлечения IEMonster с помощью вашего скрипта возникла небольшая проблемка с Internet Explorer 7.0. Он теперь при попытке открыть половину сайтов выдает web browsing error. Далее дамп ошибки:

Client Information
------------------
User Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)<BR>Accept-encode:  (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
CPU Class: x86
Platform: Win32
System Language: en-us
User Language: en-us
CookieEnabled: true
Mime Types:

Exception Details
-----------------
Date: Thu Mar 12 08:43:42 UTC+0100 2009
Message: Automation server can't create object
Url: [url]https://eme.email.accenture.com/OWA/?ae=PreFormAction&a=Reply&t=IPM.Note&id=RgAAAAAONgmFZCsLTLZH%2faem5ahFBwCtKzRyxeVxSqUbOAmjd3nyAAACrR6YAABPX0VLreIATJ%2fcSun37KBEAZxxd2mqAAAJ[/url]
Line: 54

Call Stack
----------
reqFac(sUrl,sCmd,oCtx,cb,fSync)
sUrl = 'keepalive.owa'
sCmd = 'GET'
oCtx = 'null'
cb = 'null'
fSync = 0
sndKA()
onKDBdy()

Dump Event
----------
recordset = null
type = error
fromElement = null
toElement = null
altLeft = false
keyCode = 0
repeat = false
reason = 0
behaviorCookie = 0
contentOverflow = false
behaviorPart = 0
dataTransfer = null
ctrlKey = false
shiftLeft = false
dataFld =
returnValue = undefined
qualifier =
wheelDelta = 0
bookmarks = null
button = 0
srcFilter = null
nextPage =
cancelBubble = false
x = 0
y = 0
srcElement = null
screenX = 696
screenY = 346
srcUrn =
boundElements = [object]
clientX = 277
clientY = 4
propertyName =
shiftKey = false
ctrlLeft = false
offsetX = 0
offsetY = 0
altKey = false
errorMessage = Automation server can't create object
errorUrl = [url]https://eme.email.accenture.com/OWA/?ae=PreFormAction&a=Reply&t=IPM.Note&id=RgAAAAAONgmFZCsLTLZH%2faem5ahFBwCtKzRyxeVxSqUbOAmjd3nyAAACrR6YAABPX0VLreIATJ%2fcSun37KBEAZxxd2mqAAAJ[/url]
errorLine = 54
errorCharacter = 276
errorCode = 0

2) Еще я установил Kaspersky Antivirus. Он теперь работает xорошо, но при скане наxодит файлы в карантине VRT и безуспешно пытается иx удалить. Это нормально? Если нет, что нужно сделать?
12.03.2009, 14:10
AndreyKa

Деинсталлируйте VRT.

Установите Adobe Acrobat 9 или удалите старый.
Попробуйте Firefox или Opera.
13.03.2009, 14:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\wintems.exe - [B]Email-Worm.Win32.Bagle.of[/B]( DrWEB: Win32.HLLM.Beagle, BitDefender: Win32.Bagle.SUQ@mm )[*] c:\0xf9.exe - [B]Trojan-Downloader.Win32.VB.laj[/B]( BitDefender: BehavesLike:Trojan.TaskDisabler )[/LIST][/LIST]