Лечил, лечил. Недолечил.

Printable View

12.03.2010, 17:28
EvilRabbit

Лечил, лечил. Недолечил.

Друзья, помогите.
Подхватил какую-то заразу. CureIt не помогает,
что мог вычистил вручную, но не все.

Под подозрением:
1. Драйвера:
C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

2.Службы:
Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Да, еще когда Outlook запускаешь он тоже попадает под подозрение,
по порту 1113 как Backdoor.Lurker

Убивал файло:
DeleteFile(C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');

DeleteFile('C:\WINDOWS\PixArt\PAC207\Monitor.exe');
DeleteFile('C:\WINDOWS\system32\424ad30a.exe');
DeleteFile('C:\WINDOWS\system32\d6cf35bf.exe');
DeleteFile('C:\WINDOWS\system32\L9YmQmb.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_atapi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS','');
QuarantineFile('C:\DOCUME~1\7494~1\LOCALS~1\Temp\E7R8yrbQ.sys','');

Но темпы не почистил, и буквально через пару перезагрузок зловред вылез обратно. Прошу помощи. И если можно, что за зараза по какой-нибудь общепринятой квалификации. Хочу почитать о ней.
12.03.2010, 18:13
EvilRabbit

Ждать? Или заявку нужно только через [url]http://virusinfo.info/911test[/url] подавать?
12.03.2010, 18:20
PavelA

Не ждать, руки свои не прилагать к написанию скриптов.
Сделать логи по Правилам.
12.03.2010, 19:36
EvilRabbit

Так?
12.03.2010, 19:58
PavelA

Да, так.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE='EvilRabbit;602366']DeleteFile('C:\WINDOWS\system32\424ad30a.exe');
DeleteFile('C:\WINDOWS\system32\d6cf35bf.exe');
DeleteFile('C:\WINDOWS\system32\L9YmQmb.exe');[/QUOTE]
Зверье, больше не вылезло. В логах плохого не увидел.
По-точнее расскажите о проблемах.
12.03.2010, 20:30
EvilRabbit

GMER запускается, при поиске руткитов под самый конец вываливается в перезагрузку без синиго экрана и дампа.

Думаете долечил?

Смущает в AVZ (обычном и полиморфном) не запускается диспечер служб и драйверов.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Думаете вылечил?
Смущает что сейчас ни в обфчно ни в полиморфном AVZ ни открывается диспечер служб и драйверов.

GMER при поиске руткитов сначала долго ищет, а потом перегружает комп без синего экрана и дампа.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

+ в модулях пространства ядра в AVZ видно

C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

при просмотре любым файловым менеджером их не видно.
13.03.2010, 09:25
PavelA

[QUOTE='EvilRabbit;602461']Смущает в AVZ (обычном и полиморфном) не запускается диспечер служб и драйверов.[/QUOTE]
AVZ - файл - восст.системы -- п.11,17 отметить и выполнить.
[QUOTE='EvilRabbit;602461']+ в модулях пространства ядра в AVZ видно

C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS[/QUOTE]
Их нет. Это ссылки на дампы при аварийном завершении программ.
13.03.2010, 13:40
EvilRabbit

Спасибо!

Вроде все нормально.
Несколько дней понаблюдаю.