руткиты+трояны+бекдоры

Printable View

04.04.2010, 22:48
uceps

руткиты+трояны+бекдоры

5-летний ребеное дорвался до учетки с админскими правами на ноуте )

drweb cureit! в сейфмоде нуходит и убивает кучу троянов и бекдоров. после загрузки в нормальном режиме - все по-новой.

помогите вылечить, плз.

логи в соответствии с правилами - в атаче.
04.04.2010, 22:58
DefesT

Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('F:\MAgent.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\WINDOWS\scrss.exe','');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\WINDOWS\cidrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\WINDOWS\system32\mini.exe','');
QuarantineFile('C:\WINDOWS\usbmagr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7611987172-8533457930-341658034-6475\syscr.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7611987172-8533457930-341658034-6475\syscr.exe');
DeleteFile('C:\WINDOWS\usbmagr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Universal Serial Bus device');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winlogon');
DeleteFile('C:\WINDOWS\system32\mini.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
DeleteService('WINIO');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\btwhid.sys','');
DeleteFile('c:\Documents and Settings\piligrim\Рабочий стол\power\winio.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\WINDOWS\cidrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\ndll.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
DeleteFile('C:\WINDOWS\scrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ScRSS');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
05.04.2010, 13:01
uceps

Карантин залил. Новые логи будут в течении 15 мин.

Комп после выполнения скрипта попытался перезагрузиться - но завис после закрытия всех программ, в т.ч. вин.эксплорера. После 5 мин ожидания пришлось помочь кнопкой ресет.
05.04.2010, 13:26
uceps

Вложений: 1

логи после выполнения скрипта - в атаче.
05.04.2010, 13:37
DefesT

Зловредов не видно. Обновите Internet Explorer до [B]8[/B] версии, даже, если Вы не используете его, как браузер. Как система поживает?
05.04.2010, 13:43
uceps

Спасибо за быстрый ответ.

Все обновления от МС поставлю обязательно.
Система вроде жива, надо пару часов чтоб потестить..
07.04.2010, 00:22
uceps

Все ок. фулскан авастом нашел еще парочку зловредов, но это были явно остатки, которые уже не подгружались при старте.

Еще раз спасибо за помощь. На этом тему можно закрывать :)
08.04.2010, 00:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\scrss.exe - [B]Net-Worm.Win32.Kolab.hpn[/B] ( DrWEB: Win32.HLLW.MyBot, BitDefender: Trojan.Generic.3587905, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\mini.exe - [B]Backdoor.Win32.VB.lhj[/B] ( DrWEB: BackDoor.IRC.Sdbot.5096, BitDefender: Backdoor.Generic.286265, AVAST4: Win32:Trojan-gen )[*] c:\windows\usbmagr.exe - [B]Backdoor.Win32.VB.lhj[/B] ( DrWEB: BackDoor.IRC.Sdbot.5096, BitDefender: Backdoor.Generic.286265, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]