Прошу помощи

Printable View

08.04.2010, 11:21
paskual

Прошу помощи

Добрый день! Возникла такая проблема с 2 машинами:
При загрузке пользовательского профиля Dr.Web начинал ругаться на зараженные объекты во временных файлах IE (хотя я им не пользуюсь и темпы чистые) затем находит зараженные объекты просто в папке TEMP, все удаляет, переходим в папку \Temporary Internet Files и видим странные ссылки на внешние адреса: [url]hxxp://188.165.155.82/alicia/[/url] [url]hxxp://91.212.135.12/[/url]
Dr.Web при сканировании в безопасном режиме зависает при проверке папки C:\WINDOWS\system32\drivers :(
Такое подозрение, что занесли с флешки эту гадость, теперь при подключении USB-накопителя идет слишком долго инициализация устройства, а затем в корне даже чистой флешки создается Autorun.inf файл. Странно, пользователи работают с ограниченными учетками :) Помогите разобраться, необходимые логи прикрепил.
08.04.2010, 12:31
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Банник\application data\microsoft\cadoojujoos.exe');
TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\46902.exe');
TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\4811974 .exe');
TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp');
TerminateProcessByName('c:\documents and settings\Банник\application data\microsoft\fuminug.exe');
TerminateProcessByName('c:\docume~1\422e~1\locals~1\temp\344.exe');
QuarantineFile('C:\Documents and Settings\Банник\Application Data\ahrg.exe,explorer.exe,C:\Documents and Set-tings\Банник\csrss.exe','');
QuarantineFile('C:\Documents and Settings\Банник\Application Data\Microsoft\cadoojujoos.exe','');
QuarantineFile('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp','');
QuarantineFile('c:\documents and settings\Банник\application data\microsoft\fuminug.exe','');
QuarantineFile('c:\docume~1\422e~1\locals~1\temp\344.exe','');
QuarantineFile('c:\docume~1\422e~1\locals~1\temp\4811974 .exe','');
QuarantineFile('c:\docume~1\422e~1\locals~1\temp\46902.exe','');
DeleteFile('c:\docume~1\422e~1\locals~1\temp\344.exe');
DeleteFile('c:\documents and settings\Банник\application data\microsoft\fuminug.exe');
DeleteFile('c:\docume~1\422e~1\locals~1\temp\vwj1.tmp');
DeleteFile('C:\Documents and Settings\Банник\Application Data\Microsoft\cadoojujoos.exe');
DeleteFile('C:\Documents and Settings\Банник\Application Data\ahrg.exe,explorer.exe,C:\Documents and Settings\Банник\csrss.exe');
DeleteFile('c:\docume~1\422e~1\locals~1\temp\46902.exe');
DeleteFile('c:\docume~1\422e~1\locals~1\temp\4811974 .exe');
DeleteFile('c:\documents and settings\Банник\application data\microsoft\cadoojujoos.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1004336348-1965331169-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run','gypou');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
08.04.2010, 13:37
paskual

Скрипт выполнил, логи повторил, карантин выслал :)
08.04.2010, 14:27
thyrex

Пролечитесь так [url]http://virusinfo.info/showpost.php?p=306441&postcount=2[/url]

После лечения - новые логи
08.04.2010, 22:09
paskual

:( сделал так как Вы посоветовали, запустить систему с загрузочного диска Dr.Web не удалось, не был найден соответствующий драйвер под железо, система наглухо зависла :( Использовал стандартный LiveXP :) отсканировал систему CureIt, ничего не нашел. Загрузился в обычном режиме, опять начал выскакивать сторож доктора и ругаться на зараженные объекты. Даже не знаю что делать, повторно логи снял. Может загрузится с LiveXP и снять AVZ логи таким образом? Заранее огромное спасибо!
09.04.2010, 00:00
paskual

Удалось загрузится в безопасном режиме с miniDr.WebLiveCD без графического интерфейса. Проверил машину, также ничего не нашел :(
09.04.2010, 00:41
thyrex

Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
09.04.2010, 10:29
paskual

Сделал.
09.04.2010, 11:54
PavelA

Проблемы остались?
09.04.2010, 12:04
thyrex

Лог какой-то неправильный. Переделайте
09.04.2010, 13:05
paskual

Лог переделал
09.04.2010, 13:06
paskual

[B]PavelA[/B], визуально нет, вэб вроде перестал ругаться, приду домой попробую вставить чистую флешку. Логи повторять не надо?
09.04.2010, 13:41
thyrex

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url]

Больше логов не нужно
09.04.2010, 17:02
paskual

[B]thyrex[/B], Сделал все по инструкции, правда удалился сам драйвер виртуального привода. Сама программа alcohol осталась. Нужно ее переустановить переустановить?
09.04.2010, 17:19
thyrex

[QUOTE='paskual;618657']Сама программа alcohol осталась. Нужно ее переустановить переустановить?[/QUOTE]Если программа Вам нужна, переустанавливайте
09.04.2010, 17:21
paskual

Понял, спасибо!
10.04.2010, 17:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\банник\application data\microsoft\cadoojujoos.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Siggen1.19100, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\docume~1\422e~1\locals~1\temp\vwj1.tmp - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.Siggen1.19100, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\docume~1\422e~1\locals~1\temp\344.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Siggen.14741, BitDefender: Trojan.Agent.APEJ, AVAST4: Win32:Crypt-GCF [Trj] )[/LIST][/LIST]