Alman, битый hosts

Printable View

Показывать 40 сообщений этой темы на одной странице

07.04.2009, 16:49
Чижъ

Alman, битый hosts

как я понял именно эта машина по сети раскидывала вирус Alman. по запросу могу выслать карантин - куча всего. ДрВеб неоднократно чистил машинку в безопасном и обычном режиме - не помогает :(
07.04.2009, 17:59
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zyzxjime.dll','');
QuarantineFile('C:\WINDOWS\system32\yxcschlp.dll','');
QuarantineFile('C:\WINDOWS\system32\zxmsdwin.dll','');
DeleteService('eth8023');
DeleteService('f28907d');
QuarantineFile('C:\WINDOWS\system32\f28907d.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\eth8023.sys','');
QuarantineFile('C:\WINDOWS\system32\b71fe93.sys','');
QuarantineFile('C:\WINDOWS\system32\b1a18a3e.sys','');
DeleteService('6457aed');
DeleteService('b71fe93');
DeleteService('b1a18a3e');
QuarantineFile('C:\WINDOWS\system32\6457aed.sys','');
QuarantineFile('C:\WINDOWS\system32\XR5nPhu9.dll','');
QuarantineFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll','');
QuarantineFile('C:\WINDOWS\system32\wS0GWMZ.dll','');
QuarantineFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll','');
QuarantineFile('C:\WINDOWS\system32\VAHVqDG3.dll','');
QuarantineFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll','');
QuarantineFile('C:\WINDOWS\system32\MGmdqtJZG47.dll','');
QuarantineFile('C:\WINDOWS\system32\J9mfQxkJ.dll','');
QuarantineFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll','');
QuarantineFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll','');
QuarantineFile('C:\WINDOWS\system32\efc0c52cc1.dll','');
QuarantineFile('C:\WINDOWS\system32\E4814792.dll','');
QuarantineFile('C:\WINDOWS\system32\D9C002DD.dll','');
QuarantineFile('C:\WINDOWS\system32\d7eb91606b0.dll','');
QuarantineFile('C:\WINDOWS\system32\CCCA2FB9.dll','');
QuarantineFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll','');
QuarantineFile('C:\WINDOWS\system32\a643af61f812.dll','');
QuarantineFile('C:\WINDOWS\system32\A1A6BC2E.dll','');
QuarantineFile('C:\WINDOWS\system32\A0C86020.dll','');
QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
QuarantineFile('C:\WINDOWS\system32\56BC86C7.dll','');
QuarantineFile('C:\WINDOWS\system32\3D144530.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
DeleteFile('C:\WINDOWS\system32\3D144530.dll');
DeleteFile('C:\WINDOWS\system32\56BC86C7.dll');
DeleteFile('C:\WINDOWS\system32\704C3595.dll');
DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
DeleteFile('C:\WINDOWS\system32\A0C86020.dll');
DeleteFile('C:\WINDOWS\system32\A1A6BC2E.dll');
DeleteFile('C:\WINDOWS\system32\a643af61f812.dll');
DeleteFile('C:\WINDOWS\system32\BMsg6pdMD4ht.dll');
DeleteFile('C:\WINDOWS\system32\CCCA2FB9.dll');
DeleteFile('C:\WINDOWS\system32\d7eb91606b0.dll');
DeleteFile('C:\WINDOWS\system32\D9C002DD.dll');
DeleteFile('C:\WINDOWS\system32\E4814792.dll');
DeleteFile('C:\WINDOWS\system32\efc0c52cc1.dll');
DeleteFile('C:\WINDOWS\system32\etGBJk2YCXnM.dll');
DeleteFile('C:\WINDOWS\system32\gggg6sZAbKcD.dll');
DeleteFile('C:\WINDOWS\system32\J9mfQxkJ.dll');
DeleteFile('C:\WINDOWS\system32\MGmdqtJZG47.dll');
DeleteFile('C:\WINDOWS\system32\STG4WdmetW2FP.dll');
DeleteFile('C:\WINDOWS\system32\VAHVqDG3.dll');
DeleteFile('C:\WINDOWS\system32\wBJk3Fs8ghs.dll');
DeleteFile('C:\WINDOWS\system32\wS0GWMZ.dll');
DeleteFile('C:\WINDOWS\system32\x8RbVCvpMmw.dll');
DeleteFile('C:\WINDOWS\system32\XR5nPhu9.dll');
DeleteFile('C:\WINDOWS\system32\6457aed.sys');
DeleteFile('C:\WINDOWS\system32\b1a18a3e.sys');
DeleteFile('C:\WINDOWS\system32\b71fe93.sys');
DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys');
DeleteFile('C:\WINDOWS\system32\f28907d.sys');
DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\system32\zyzxjime.dll');
ClearHostsFile;
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43390[/url]
07.04.2009, 18:31
Чижъ

Авз выдал
Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
авз перераспаковал - тот же результат.
попробовал из безопасного - без результата
удалил строку - запустил, перегрузил.
дрвеб продолжает находить Alman. в сеть включать нельзя?
07.04.2009, 19:28
PavelA

Карантин надо присылать ,да и логи новые делать.
Там слишком много всего было за один раз не управишься.
07.04.2009, 19:37
Чижъ

понял, ушел делать логи, буду завтра :)
08.04.2009, 10:21
Чижъ

прогнал через AVPTool
и в обычном, и в безопасном - ошибка svchost, и отсчет обратный времени. что-то еще можно сделать?
08.04.2009, 10:46
PavelA

Логи-то получились?
08.04.2009, 12:35
Чижъ

нет, логине успелись.
перебивать винду?
08.04.2009, 12:40
Гриша

Попробуйте установить SP3 а потом сделать логи...
08.04.2009, 15:29
Чижъ

на флешке, принесенной с того компа детектятся
Win32.HLLW.Autoruner, Win32.Alman.1, Win32.Alman
[B]Винду еще не переставлял[/B]. Если она не восстановима, то надолго ли она нам еще нужна в научных ;) целях?
Все логи из-под SafeMode с незакрытым окном[QUOTE]ошибка svchost[/QUOTE]
08.04.2009, 16:58
PavelA

Пришли AVZ.exe через карантин и форму загрузки карантина.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Да, и пользуйся AVZ из моей подписи.
08.04.2009, 17:51
Чижъ

полчаса мучался, но брать в карантин файл avz.exe он в упор не хотел. даже переименованный. загрузил в архив руками.
Файл сохранён как 090408_175043_1_49dcabb3d0a19.zip
08.04.2009, 18:07
PavelA

avz - чистый, файлового вируса нет. Это уже неплохо.
Повтори скрипт из №2 в AVZ скаченной с [url]http://depositfiles.com/files/sutnyhabc[/url]
08.04.2009, 18:35
Чижъ

скрипт н2 это
[CODE]skipped...[/CODE]
? просто не понятно почему 2 - он всего 1 был :)

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[CODE]http://ifolder.ru/10645842[/CODE] - это зеркало?
депозит не доступен

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

скрипт не запускается, ошибка в том же месте
[QUOTE]Ошибка Undeclared Identifier: 'Clear Host File' в позиции 73:15
удалил строку - запустил, перегрузился комп.[/QUOTE]
сейчас делаю новые логи, симптомы те же:
[QUOTE]Все логи из-под SafeMode с незакрытым окном
[QUOTE]ошибка svchost[/QUOTE][/QUOTE]
если окно закрыть - выключени компа через минуту.
08.04.2009, 22:35
Alex_Goodwin

что бы не выключился комп при обратном отчете: пуск - выполнить [CODE]shutdown -a[/CODE]
Включите AVZPM, повторите логи.
09.04.2009, 11:22
Чижъ

[QUOTE]что бы не выключился комп[/QUOTE]
спасибо :)
в карантин попадает гадость, определяемая ДрВеб 5.0 как Trojan.PWS.wsgame.10968.
Если нужен - пришлю.
09.04.2009, 12:12
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: ijdybpaw.dll - {2A698452-C5D8-C584-C256-C264C987C5A2} - C:\WINDOWS\system32\ijdybpaw.dll (file missing)
O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing)
O2 - BHO: oohxebyt.dll - {6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6} - C:\WINDOWS\system32\oohxebyt.dll (file missing)
O2 - BHO: zxmsdwin.dll - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINDOWS\system32\zxmsdwin.dll (file missing)
O2 - BHO: apsggjba.dll - {7FD45A54-9875-698F-E56E-65102358FDF7} - C:\WINDOWS\system32\apsggjba.dll (file missing)
O2 - BHO: ypcqghlp.dll - {80AF1289-F140-A140-D012-C1458759FC08} - C:\WINDOWS\system32\ypcqghlp.dll (file missing)
O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\system32\zyzxjime.dll (file missing)
O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\system32\hdf453d.dll (file missing)
O20 - AppInit_DLLs: 01AFE3DC.dll,HBmhly.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
DelBHO('{B629FF4F-ACDB-5C90-A098-FACB3456A26B}');
DelBHO('{AA59145F-315D-BC23-AC1F-145DF81A34AA}');
DelBHO('{80AF1289-F140-A140-D012-C1458759FC08}');
DelBHO('{7FD45A54-9875-698F-E56E-65102358FDF7}');
DelBHO('{7A041F13-A111-12A3-B0CF-F99818AA68A7}');
DelBHO('{6B1AEF69-DDAE-FDAD-DCAB-698F026ABDB6}');
DelBHO('{35671234-7890-ABCD-CDEF-567801237653}');
DelBHO('{2A698452-C5D8-C584-C256-C264C987C5A2}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteService('HBKernel32');
DeleteFile('C:\WINDOWS\system32\drivers\HBKernel32.sys');
DeleteFile('01AFE3DC.dll');
DeleteFile('122B901E.dll');
DeleteFile('1FD51F1F.dll');
DeleteFile('201476D0.dll');
DeleteFile('29EA67E0.dll');
DeleteFile('2EF0D734.dll');
DeleteFile('3D144530.dll');
DeleteFile('4D023DE9.dll');
DeleteFile('4FBFD5A4.dll');
DeleteFile('56BC86C7.dll');
DeleteFile('5934EA2B.dll');
DeleteFile('66AFCB56.dll');
DeleteFile('755D0ED0.dll');
DeleteFile('950D1600.dll');
DeleteFile('9CA963CA.dll');
DeleteFile('A1A6BC2E.dll');
DeleteFile('A55F538E.dll');
DeleteFile('B6E23E89.dll');
DeleteFile('BA7EDF54.dll');
DeleteFile('C8FFD223.dll');
DeleteFile('C:\Program Files\Messenger\msgmr.dll');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\system32\apsggjba.dll');
DeleteFile('C:\WINDOWS\system32\hdf453d.dll');
DeleteFile('C:\WINDOWS\system32\ijdybpaw.dll');
DeleteFile('C:\WINDOWS\system32\oohxebyt.dll');
DeleteFile('C:\WINDOWS\system32\ypcqghlp.dll');
DeleteFile('D9C002DD.dll');
DeleteFile('DA63E650.dll');
DeleteFile('DFB3DAC5.dll');
DeleteFile('E0D39066.dll');
DeleteFile('E4814792.dll');
DeleteFile('F8E07BB2.dll');
DeleteFile('FFAE967F.dll');
DeleteFile('HBmhly.dll');
DeleteFile('C:\Documents and Settings\Илющенко\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DeleteFile('C:\WINDOWS\system32\yxcschlp.dll');
DeleteFile('C:\WINDOWS\system32\zxmsdwin.dll');
DeleteFile('C:\WINDOWS\system32\zyzxjime.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('HBKernel32');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
09.04.2009, 12:26
PavelA

№2 - это мое сообщение в этой теме под этим номером. Скрипт там верный, еще раз проверил.
09.04.2009, 12:34
Чижъ

ошибка осталась, при запуске ИЕ тоже ошибка и он закрывается.
09.04.2009, 13:23
Чижъ

логи готовы

Показывать 40 сообщений этой темы на одной странице