Поймали трояна.

Printable View

Показывать 40 сообщений этой темы на одной странице

17.03.2009, 19:44
Sibirian

Поймали трояна.

Доброго вечера,
вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.

Алексей.
17.03.2009, 20:22
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\qwe\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\AntiTool.exe','');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFile('C:\Documents and Settings\qwe\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\fasd621.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_ImportALL;
BC_DeleteSvc('kbd');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('AudioSrvHidServ');
BC_DeleteSvc('Googles Onlines Search Services');
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41914"]http://virusinfo.info/upload_virus.php?tid=41914[/URL]
Повторите логи по правилам.
17.03.2009, 22:14
Sibirian

Выполнено.

Высылаю логи и карантин. По-прежнему с флешки - напрямую с сайтом соединиться не могу - выдает ошибку. И винт работает постоянно...

Алексей.
17.03.2009, 23:17
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('qandr');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.
18.03.2009, 00:37
Sibirian

Выполнил.

Логи выкладываю, запустился HJK - выкладываю...
После выполнения скрипта опять дисконнект с "Вирусинфо" - запустил АВИРУ - так каждые 15 сек ругань на Crypt.DX.3 из c:/windows/msacm32.drv...

Жду инструкций. Алексей.
18.03.2009, 01:08
Aleksandra

Не нравится мне вот этот файл C:\WINDOWS\system32\fcfaf.dll и еще больше вот это:

[QUOTE]O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)[/QUOTE]

Пока сделайте лог Gmer [url]http://virusinfo.info/showthread.php?t=40118[/url]
18.03.2009, 01:33
Sibirian

Благополучно послал меня Gmer... На 2-3 сек появляется и гаснет... На сайт не пускает, АВИРУ обновить не дает... Но при всем при этом, к примеру, Рамблер грузит исправно. Мдя...

Алексей.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А как провода надоело туда-сюда - системника 2, а вот перефирии ((
18.03.2009, 01:49
Aleksandra

Попробуйте это [url]http://virusinfo.info/showthread.php?t=41675[/url]
18.03.2009, 01:55
Sibirian

Скачал, переключаю шнуры.
Спс, что не спите)

Алексей.
18.03.2009, 02:26
Sibirian

После KKiller (выдал 2 сообщения об убийстве в svchost.exe - PID 960) запустился Gmer. Выкладываю 2 лога - просто неожиданно сразу в первый раз пошел, не уверен, что лог корректный.
Кстати, сдури 1 раз после Киллера перезапустился - после нашел то же самое.
Алексей.
18.03.2009, 02:27
Sibirian

Кстати - пустил уже с больного)
18.03.2009, 02:37
Aleksandra

Хорошо, но есть странности. У меня к Вам просьба. Еще раз запустите лечилку от ЛК, после чего перезагрузитесь и сделайте лог Gmer.
18.03.2009, 02:54
Sibirian

С точностью до тогоже самого - до перезагрузки, вроде пускает, после - на круги своя. Пока опять от КЛ не запустишь. Лог ГМЕР выкладываю, может и КЛ приложить?
Алексей.
18.03.2009, 02:56
Aleksandra

Ага, все ясно! Давайте последний лог Gmer.
18.03.2009, 02:58
Sibirian

Уже) Сорри - здесь НЕТ значительно медленне - поторопился, с непривычки. Лог в сообщении выше.
18.03.2009, 03:07
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wuausvc');
QuarantineFile('C:\WINDOWS\system32\fcfaf.dll','');
DeleteFile('C:\WINDOWS\system32\fcfaf.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wuausvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41914[/url]

3. Повторите лог Gmer.
18.03.2009, 03:21
Sibirian

Сделано, выкладываю карантин, на всякий - лог по 3 приложению.

Алексей.
18.03.2009, 03:35
Aleksandra

Логи AVZ пока не нужны. Давайте лог Gmer и не забудьте загрузить карантин.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Очень хорошо! Карантин у нас. В нем новая версия червя Kido, которая пока не определяется антивирусами. Значит ночь прошла не зря. :)
18.03.2009, 03:36
Sibirian

Выкладываю - карантин должен быть на месте.
18.03.2009, 03:42
Aleksandra

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
DeleteService('wuausvc');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc');
BC_DeleteSvc('wuausvc');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите лог Gmer.

Показывать 40 сообщений этой темы на одной странице