Не удалить троян.

Printable View

25.08.2009, 15:11
eHoToff

Вложений: 2

Не удалить троян.

Компьютер был заражен несколькими вирусами, в течении дня сканил разными антивирями NOD32, dr.Web CureIt, спайбутом с гугла, касперским проверялся он-лайн ... все что-то находили, но до конца не вылечили, описываю что происходит в настоящий момент.
Симптомы - все время появляется окно "Защита файлов Windows" - грит что системные файлы заменены, и просит вставить диск с дистрибутивом винды. Если нажзать "Отмена" и согласится сохранить измененные файлы то окно через несколько секунд снова появляется.При вставке диска с дистрибутивом -окно исчезает, но как тока диск достаешь -снова появляется.
Второе, Outpost обнаруживает процесс
SERVICES.EXE в сетевой активности, который все время отправляет
запрос на соединение на ah.ultima2009.info
1.Сейчас установлен NOD32 v 3.0.672.0 -базы за вчерашнее число - при полном максимальном сканировании ничегоне обнаруживает.
2 CureIt в безопасном режиме обнаружил 2 файла (msupd2.exe, install[1].exe ) зараженные trojan.fakealert.4747 вылечить не смог - переместил.
3 Скачал AVZ и HiJackThis, распаковал обновил , но при проверк AVZ при отключенном инете архив [B]virusinfo_syscure.zip[/B]. не создаётся, хотя архив с зараженными файлами [COLOR=Black][SIZE=3]virusinfo_cure.zip[SIZE=2]создался[B], [/B]по просьбе готов выслать.
4 При включенном инете архив [/SIZE][/SIZE][/COLOR][SIZE=2][B]virusinfo_syscheck.zip[/B] создался, присылаю его и лог [/SIZE]HiJackThis ... Очень надеюсь на Вашу помощь.
25.08.2009, 15:15
Rene-gad

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Файл [B]C:\WINDOWS\System32\Drivers\Beep.SYS[/B] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
25.08.2009, 15:25
eHoToff

Вопрос в догонку
- Файл C:\WINDOWS\System32\Drivers\Beep.SYS замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
У меня есть родной диск винды - можно удалить beep.sys и воспользоваться sfc /scannow ?
25.08.2009, 15:34
Rene-gad

[QUOTE=eHoToff;455686]
У меня есть родной диск винды - можно удалить beep.sys и воспользоваться sfc /scannow ?[/QUOTE]
Попробовать можете, но: Лучше сделайте как написано в статье :)
25.08.2009, 15:47
eHoToff

Спасибо) Отправил карантин.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Любопытный факт, взял beep.sys с соседней машины, он имел размер 5 кб, после того как заменил он через секунду поменял размер до 48 кб
25.08.2009, 15:56
Rene-gad

[QUOTE=Rene-gad;455678]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.[/QUOTE]Сделайте [B]все[/B], что просят, потом отписывайтесь, плиз :)
25.08.2009, 16:32
eHoToff

Вложений: 3

virusinfo_syscure.zip. опять не создается
25.08.2009, 16:55
thyrex

Выполните скрипт в AVZ
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи
25.08.2009, 18:19
eHoToff

Вложений: 3

Новые логи, avz_sysinfo.htm так и не создается
25.08.2009, 18:36
Белый Сокол

Сохраните текст ниже как [B]cleanup.bat [/B]в ту же папку, где находится gmer
[CODE]gmer.exe -del service beep
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\Beep"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\Beep"
gmer.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится.

Выполните в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\GL_BYX~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys','');
DeleteService('S3chipid');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\DOCUME~1\GL_BYX~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.

Делайте новые логи.
25.08.2009, 19:03
eHoToff

выполнил первое, после перезагрузки исчезла "защита файлов "windows",
но при выполнении скрипта в avz выдает "failed to set 'DisplayName' "
25.08.2009, 19:39
eHoToff

Вложений: 3

Симптомы вирусов исчезли, присылаю новые логи ... спасибо))
25.08.2009, 19:50
Белый Сокол

В логах чисто.
25.08.2009, 19:55
eHoToff

СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!
26.08.2009, 19:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.NewRest.co[/B] ( BitDefender: Trojan.Generic.2220112, AVAST4: Win32:RustNT [Rtk] )[/LIST][/LIST]