Jjdrive & Co

Printable View

21.02.2010, 20:19
андрей викторыч

Jjdrive & Co

Переустановил систему на буке и обнаружил в диспетчере задач "левые" процессы.CureIt нашёл и обезвредил пару десятков троянов,но похоже не все.Полную проверку не даёт сделать BSOD "driver irql not less or equal",в безопасный режим не впускает по той же причине :(
21.02.2010, 20:23
CyberHelper

1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
QuarantineFile('IntelIde.sys', 'CHQ=N');
QuarantineFile('logon.scr', 'CHQ=N');
QuarantineFile('G:\RECYCLING\autorun.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\System32\3DWIND~1.SCR', 'CHQ=N');
QuarantineFile('d:\windows\system32\avsys.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\system32\clipsrv.exe', 'CHQ=N');
QuarantineFile('D:\WINDOWS\system32\msdtc.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\sol.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\umdmgr.exe', 'CHQ=N');
QuarantineFile('d:\windows\system32\upd32.exe', 'CHQ=N');
QuarantineFile('G:\autorun.inf', 'CHQ=N');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe', 'CHQ=N');
QuarantineFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe', 'CHQ=N');
QuarantineFile('D:\Program Files\Internet Explorer\IEXPLORE.EXE', 'CHQ=N');
BC_QrFile('G:\RECYCLING\autorun.exe');
BC_QrFile('G:\autorun.inf');
BC_QrFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
BC_QrFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe');
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
21.02.2010, 20:55
андрей викторыч

Скрипт выполнил.Карантин с горем пополам отправил.Интернет практически не работает (
Сделал новые логи.
21.02.2010, 21:23
Зайцев Олег

Будем лечиться ...
1.выполните скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
DeleteFile('d:\windows\system32\.exe');
DeleteFile('d:\windows\system32\avsys.exe');
DeleteFile('d:\windows\jjdrive32.exe');
DeleteFile('d:\windows\system32\sol.exe');
DeleteFile('d:\windows\system32\umdmgr.exe');
DeleteFile('d:\windows\system32\upd32.exe');
DeleteFile('D:\WINDOWS\jjdrive32.exe');
DeleteFile('D:\WINDOWS\system32\avsys.exe');
DeleteFile('D:\WINDOWS\system32\sol.exe');
DeleteFile('D:\WINDOWS\system32\umdmgr.exe');
DeleteFile('D:\WINDOWS\system32\upd32.exe');
DeleteFile('D:\WINDOWS\system32\logon.scr');
DeleteFile('D:\Program Files\Internet Explorer\IEXPLORE.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('D:\RECYCLER\S-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe');
DeleteFile('D:\WINDOWS\System32\drwtsn32.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RECYCLING\autorun.exe');
DeleteFile('D:\WINDOWS\System32\3D Windows XP.scr');
DeleteFile('D:\WINDOWS\System32\3DWIND~1.SCR');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upd32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','611');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','199');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','626');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

2. Скачайте AVPTool и пролечите им ПК (зловред патчит файлы, заражая их - и где-то на диске могут быть еще подобные)
3. повторите логи
22.02.2010, 15:55
андрей викторыч

Вложений: 3

Нда.Полдня убил на этого зловреда (
Выполнил скрипт,проверил систему и все разделы жёсткого диска AVPToolом.Нашёл в общей сложности около 200 гадов.Повторная проверка снова находит в автозагрузке и на основном разделе те же самые (~30 штук).И так до бесконечности (
22.02.2010, 16:41
thyrex

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
22.02.2010, 17:41
андрей викторыч

готово
22.02.2010, 21:37
андрей викторыч

Вложений: 3

Безопасный режим так и выносит bsod,видимо придётся опять систему сносить (
CureIt вроде чисто показывает.Посмотрите логи.
22.02.2010, 21:43
PavelA

Обновления безопасности стоят на системе?
22.02.2010, 21:46
андрей викторыч

Нет,система чистая.Даже драйвера не все установлены ещё
22.02.2010, 22:01
PavelA

Сеть просто у Вас заражена, вот и ловите зверье в огромном количестве.
22.02.2010, 22:08
андрей викторыч

Что можете посоветовать?kis?фаервол?
25.02.2010, 14:12
Зайцев Олег

[QUOTE=андрей викторыч;591618]Что можете посоветовать?kis?фаервол?[/QUOTE]
1. комплексное решение типа KIS 2010
2. Если протокол MS не нужен и не применяется, то отключить его в свойствах сетевыхподключений - Инет останется, а всякие сететвые червяки не будут заползать. Но это неприемлемло в корпоративной среде
26.02.2010, 14:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe - [B]P2P-Worm.Win32.Palevo.rmm[/B] ( DrWEB: Win32.HLLW.Lime.187, BitDefender: Worm.Generic.227674, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Trojan-gen )[*] d:\program files\internet explorer\iexplore.exe - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] d:\recycler\s-1-5-21-7209710556-7844278567-122146998-8008\wmfcgr.exe - [B]P2P-Worm.Win32.Palevo.siz[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )[*] d:\windows\system32\avsys.exe - [B]Trojan.Win32.Buzus.dhbg[/B] ( DrWEB: Trojan.Packed.19716, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Wmit-C [Trj] )[*] d:\windows\system32\.exe - [B]Trojan.Win32.Buzus.dhbg[/B] ( DrWEB: Trojan.Packed.19716, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Wmit-C [Trj] )[*] d:\windows\system32\logon.scr - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] d:\windows\system32\sol.exe - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] d:\windows\system32\umdmgr.exe - [B]Trojan.Win32.Buzus.dhbf[/B] ( DrWEB: Trojan.MulDrop.64730, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )[*] d:\windows\system32\upd32.exe - [B]Trojan.Win32.Buzus.dhbi[/B] ( DrWEB: Trojan.Packed.19716, BitDefender: Trojan.Inject.WX, AVAST4: Win32:Wmit-C [Trj] )[*] d:\windows\system32\3d windows xp.scr - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] d:\windows\system32\3dwind~1.scr - [B]P2P-Worm.Win32.Polip.a[/B] ( DrWEB: Win32.Polipos, BitDefender: Win32.Polip.A, NOD32: Win32/Polip virus, AVAST4: Win32:Polipos )[*] g:\autorun.inf - [B]Trojan.Win32.AutoRun.to[/B] ( BitDefender: Trojan.Script.232297, NOD32: INF/Autorun virus )[*] g:\recycling\autorun.exe - [B]P2P-Worm.Win32.Palevo.siz[/B] ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Zbot-MQO [Trj] )[/LIST][/LIST]