ещё один imax

Printable View

13.12.2009, 10:55
romango

ещё один imax

Добрый день, попался ещё один комп с Imax, лечил фактически руками, загрузил PE, убрал dll с размером 133К и прибил srda64 (вроде так назывался).
после чего сделал восстановление avz
сейчас вроде всё запускается и зараза не выскакивает, но хотелось бы убедится...
сорри, скрипты выполнял при запущенном avp tools
посмотрите пожалуйста
13.12.2009, 10:56
romango

вложения
13.12.2009, 11:00
snifer67

Пофиксить в HijackThis
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbgbmvq.dll
[/code]
ПК перезагрузите.

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\user\Application Data\bpfeed.dll','');
DeleteFile('C:\Documents and Settings\user\Application Data\bpfeed.dll');
DeleteFile('C:\WINDOWS\system32\kbgbmvq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
13.12.2009, 11:24
romango

спасибо
насчёт kbgbmvq.dll тоже сомневался, хотел прибить но не успел :)
логи кроме сбора карантина прикладываю, остальное если успею - позже
cure ессно старый - до лечения

а.. cure не грузицца, он под мег размером
куда прислать?
13.12.2009, 11:28
snifer67

Это вам знакомо ? [B]E:\autorun.inf[/B]
13.12.2009, 11:32
romango

спасибо, надо же, такую очевидность недоглядел, это флэшка на которой таскал логи на здоровый комп, небось ещё и заразил его...
13.12.2009, 11:33
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Что с проблемой ?
13.12.2009, 11:46
romango

да autorun то я руками уже прибил с этой флэшки, на другом компе, в нём был прописан запуск ap.dll из RECYCLER

что с проблемой - уж не знаю теперь с которой из них :)
imax то не появляется, но всё равно стрёмно, сейчас сбор карантина добегает - пришлю ещё раз
а с этим autorun на втором компе можно проверить не успел ли он напакостить, или надо опять по полной по правилам и на втором тоже?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

syscure
13.12.2009, 11:48
romango

грузится долго, от момента приветствие до рабочего стола - минуты две -три
но правда не знаю как раньше было

[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]

ну чего, больше ничего не делать?
ждать симптомов? :)
13.12.2009, 12:18
romango

defrag32

в догонку, вижу в модулях пространства ядра
defrag32.sys
и
defrag32b.sys

это не может быть заразой?
13.12.2009, 14:41
thyrex

Ничего плохого в последнем логе
13.12.2009, 16:30
romango

вкурил таки правила :)
переслал запрошенный карантин
14.12.2009, 16:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.adhe[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2850275, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MKO [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]