Взгляните на логи, плз

Printable View

13.04.2009, 11:17
Rina

Взгляните на логи, плз

На мой взгляд в логах чисто, но по опыту знаю, что Ваш взгляд отличается от моего.
Логи сделала после восстановления возможности видеть скрытые файлы, которая почему-то пропала, пришлось изменять значение в реестре.
Кроме того на диске очень мало места, и после удаления папки с файлами на 570 Мб, оно не увеличилось, что натолкнуло меня на мысль о вражеских засланцах. Но вполне возможно это просто неудачная сборка ХР с разными плугинами, установленная недавно сыном, и глючащая с первого дня.
Разрешите мои сомнения.
13.04.2009, 11:25
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
QuarantineFile('D:\NISSAN\WH4Shell.exe','');
QuarantineFile('D:\NISSAN\WPWShell.exe','');
QuarantineFile('D:\WINDOWS\system32\zpgmlt.dll','');
end.
[/CODE]

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
13.04.2009, 12:56
Rina

Карантин закачала, но подозреваю, что последний файл пуст.
AVZ выдал:
Выполнен карантин файла D:\NISSAN\WH4Shell.exe
Выполнен карантин файла D:\NISSAN\WPWShell.exe
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\zpgmlt.dll)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (D:\WINDOWS\system32\zpgmlt.dll)
Выполнен карантин файла D:\WINDOWS\system32\zpgmlt.dll

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И опять не показывает скрытые файлы...
13.04.2009, 15:38
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
13.04.2009, 19:40
Rina

Mr. Bratez, да Вы волшебник!
На диске волшебным образом образовалось 1,5Гб свободного места, правда зверина похоже осталась на месте:(
13.04.2009, 19:43
Rene-gad

L - это у Вас флешка?

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('L:\autorun.inf','');
DeleteFile('L:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится, закачайте карантин
Сделайте новые логи.
13.04.2009, 20:01
Rina

Она самая.

А zpgmlt.dll - что за зверь?

Дело в том, что тотал коммандер эту dll-ку видит, говорит, что это системный или скрытый файл, а удалить не может, пишет защищено от записи.
13.04.2009, 20:43
Rina

Autorun из карантина отправила.
Новые логи:
13.04.2009, 23:55
Rene-gad

[QUOTE=Rina;386962]
А zpgmlt.dll - что за зверь?[/QUOTE]
Net-Worm.Win32.Kido.ih

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Выполните скрипт в безопасном режиме, флешка L д.б. подключена.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
DeleteFile('L:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится
Сделайте новые логи в нормальном режиме.
14.04.2009, 15:53
Rina

Не дождавшись ответа вчера ночью, я этого зловреда пыталась выкорчевать всеми известными мне способами, и паучком (Cure it), и мечом (Ice Sword). Не удалось, хотя все рапортовали об успешном удалении. А утром пришел сын и добил его лопатой:) (снял защиту через Total Commander). Жить стало легче, свойства папки теперь не меняются при перезагрузке, правда Word и принтер ошибки выдают по прежнему, но уже не так обидно.

Огромное спасибо всем! Без вашей помощи мы бы не узнали фамилию зловреда и не смогли бы добить его.

PS: AVZ не может его удалить, и даже в карантине он весит 0 байт, сейчас жалею, что не попыталась скопировать его Вам для коллекции.
15.04.2009, 09:20
Rina

Упс... Добить зловреда не удалось, сегодня он появился снова, на своем любимом месте D:\WINDOWS\system32\zpgmlt.dll, видимо окопался где-то ещё.
Я его запаковала в ZIP- архив, закачать в запрошенный карантин?
15.04.2009, 09:53
Bratez

Закачайте. Хотя мы вроде его уже видели...

Выполняйте последний скрипт от [B]Rene-gad[/B] с подключенной флэшкой и новые логи - в студию.
15.04.2009, 11:53
Rina

Скрипт выполнила, хотя не уверена что поможет, будем наблюдать...
После выполнения скрипта обнаружилось какое-то новое оборудование, установить не удалось, идентифицировать тоже, просился в интернет, поискать драйвер, но не пустили, инета на этом компе нет, вернее доступ к нему закрыт, и откуда только такой зверь взялся?
А есть какой-нибудь способ, чтобы найти остатки этого червя?

Новые логи:
15.04.2009, 12:21
Rene-gad

[QUOTE=Rina;387758]
После выполнения скрипта обнаружилось какое-то новое оборудование[/QUOTE]Удалите его в диспетчере оборудования
[QUOTE=Rina;387758]
А есть какой-нибудь способ, чтобы найти остатки этого червя?
[/QUOTE]Есть: format c:\ ;)
В логах сейчас ничего плохого не видно.
15.04.2009, 13:26
Rina

[QUOTE=Rene-gad;387782]Есть: format c:\ ;)
[/QUOTE]

Так и думала, что всё к этому идет:>

Всем большое спасибо!
16.04.2009, 13:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\zpgmlt.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[*] \zpgmlt.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]