Вобщем не смейтесь, сервер Win2000Serv с БД SQL, на нем работали юзеры с правами админа, результат в логах:(
Printable View
Вобщем не смейтесь, сервер Win2000Serv с БД SQL, на нем работали юзеры с правами админа, результат в логах:(
Вобщем так. Я беру в карантин небольшую кучку, а там уж будем разбираться.
Выполнить:
[CODe]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('windowszupdate.exe','');
QuarantineFile('taskmgnr.exe','');
QuarantineFile('spread.exe','');
QuarantineFile('ddccc.dll','');
QuarantineFile('C:\windows\adtech2006.exe','');
QuarantineFile('C:\WINNT\system32\svchost.dll','');
QuarantineFile('C:\WINNT\system32\steam.dll','');
QuarantineFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe','');
QuarantineFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe','');
QuarantineFile('C:\WINNT\xOXt6PE\command.exe','');
QuarantineFile('c:\program files\outws nt\untshell.exe','');
ClearHostsFile;
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин через [url]http://virusinfo.info/upload_virus.php?tid=41464[/url]
ок, сделаем
Карантин загружен, ссори за задержку, сервак в другом месте стоит.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\adtech2006.exe');
DeleteFile('C:\WINNT\system32\svchost.dll');
DeleteFile('C:\Program Files\Common Files\Windows\mc-110-12-0000247.exe');
DeleteFile('C:\PROGRA~1\COMMON~1\zzkm\zzkmm.exe');
DeleteFile('C:\WINNT\xOXt6PE\command.exe');
DeleteFile('c:\program files\outws nt\untshell.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
То, что попалось:
0001.dta,
untshell_0.exe - Trojan.Win32.Crypt.t
ulicisvc.exe - Packed.Win32.NSAnti.r
Все сделал, загружаю логи. Еще раз ссори за медленную реакцию, сервак в другом месте города и приходится ездить к нему.
Народ, а дальше т о что?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - (no file)
O4 - HKLM\..\Run: [Microsoft sdDDE Control] taskmgnr.exe
O4 - HKLM\..\Run: [WinDLL (kky32.dll)] rundll32.exe C:\WINNT\system32\kky32.dll,start
O4 - HKLM\..\Run: [WinDLL (steam.dll)] rundll32.exe C:\WINNT\system32\steam.dll,start
O4 - HKLM\..\Run: [winsystems25] spread.exe
O4 - HKLM\..\Run: [WinDLL (v4mon.dll)] rundll32.exe C:\WINNT\system32\v4mon.dll,start
O4 - HKLM\..\RunServices: [winsystems25] spread.exe
O4 - HKUS\.DEFAULT\..\Run: [WindowsRegisKey update] windowszupdate.exe (User 'Default user')
O20 - Winlogon Notify: ddccc - ddccc.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\v4mon.dll','');
QuarantineFile('C:\WINNT\system32\kky32.dll','');
QuarantineFile('windowszupdate.exe','');
QuarantineFile('spread.exe','');
QuarantineFile('taskmgnr.exe','');
QuarantineFile('ddccc.dll','');
DeleteFile('C:\Program Files\Outws nt\untshell.bak');
DeleteFile('C:\Program Files\Outws nt\ulicisvc.exe');
DeleteFile('windowszupdate.exe');
DeleteFile('ddccc.dll');
DeleteFile('taskmgnr.exe');
DeleteFile('spread.exe');
DeleteFile('C:\WINNT\system32\kky32.dll');
DeleteFile('C:\WINNT\system32\v4mon.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вот логи и карантин.
IE обновите до версии IE 6 SP1a.
В логах сейчас ничего подозрительного.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\outws nt\ulicisvc.exe - [B]Packed.Win32.NSAnti.r[/B]( DrWEB: Adware.Apropos )[*] c:\program files\outws nt\untshell.exe - [B]Trojan.Win32.Crypt.t[/B]( DrWEB: Adware.Apropos, BitDefender: Gen:Trojan.Heur.93F7081D6D )[/LIST][/LIST]