Лечение winlock.

Printable View

17.02.2010, 12:49
mainpart

Лечение winlock.

добрый день.
Подцепил заразу через Firefox (ну если быть более точным скорее всего через надстройку pdf хотя и стоят отключенные javascript'ы в свойствах adobe acrobat) Очень расстроен, потому что не могу вылечить - доктор веб ничего не находит в безопасном режиме.

При мониторинге трафика svchost постоянно ломится на butirat.com/<blah-blah-blah> и на ряд других сайтов.

Прилагаю логи. Есть подозрение на файл windows\system32\netprotocol.dll однако точно не уверен. Вопрос - эта дрянь отсылает пароли хранимые в фаре/бате и т.п. куда либо? Я веб-мастер и у меня с несколько десятков сайтов заказчиков.
17.02.2010, 13:11
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\yz_dck0083\YzDock.exe','');
QuarantineFile('C:\Program Files\HideHelper\form.dll','');
QuarantineFile('z:\usr\bin\php5.exe','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
QuarantineFile('C:\PROGRA~1\IZArc\IZArcCM.dll','');
DeleteFile('c:\windows\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
17.02.2010, 13:48
mainpart

При первом запуске AVZ подвис. Перегрузился, выполнил второй раз. Все успешно, файл

DeleteFile('c:\windows\system32\netprotocol.dll');

удален, однако в памяти опять висит неизвестный sys файл помеченный в логах avz - скриншот gmer'а [url]http://clip2net.com/page/m0/4047308[/url]

П 2,3 сейчас выполню. - виснет AVZ - необходима перезагрузка.
17.02.2010, 14:01
mainpart

Здравствуйте еще раз. Вот отчет. Все тот же sys файл под другим именем.
18.02.2010, 08:05
mainpart

похоже все ок! этот sys файл, судя по всему - от daemon tools. больше svchost не ломится
18.02.2010, 08:18
polword

C:\Program Files\yz_dck0083\YzDock.exe - это знакомо?

Удалите [URL="http://virusinfo.info/showthread.php?t=27923"][B]Bonjour[/B][/URL]
19.02.2010, 08:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\netprotocol.dll - [B]Backdoor.Win32.Buterat.gc[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.eq8@aeQ@C8pc )[/LIST][/LIST]