-
Заражен комп из LAN
Что делает вирус
1. Изменяет файл хост.
2. Блокирует изменение настроек сетевого подключения
3. Модифицирует диспетчер задач
4. Мониторит сетку по 445 порту, инсталит свои копии на другие компьютеры локалки. Из тех, где стоит касперский - заражения ноль, из тех, где стоит trendmicro - 100% зараженность.
5. При подключении к компу флэшки сразу копирует туда autoran.inf и две папки "scan" и "driver"
Вирсу еще делает многое другое, перечислять долго, включая блокировку хайджека и авз(хорошо хоть переименование авз помогло, с hj так не получилось)
-
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: Notes Link - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\quooquasoohiqu.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\nepxsn.exe','');
QuarantineFile('C:\Documents and Settings\Efanova\nrbaje.exe','');
QuarantineFile('C:\Documents and Settings\Efanova\Application Data\szywo.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\szqfxrpi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tgkvbaxi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\tuyxmnru.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vgkapnoe.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\xjdesdux.sys','');
DeleteService('xjdesdux');
DeleteService('vgkapnoe');
DeleteService('tuyxmnru');
DeleteService('tgkvbaxi');
DeleteService('szqfxrpi');
QuarantineFile('C:\WINDOWS\System32\Drivers\qzpeojfi.sys','');
DeleteService('qzpeojfi');
QuarantineFile('C:\WINDOWS\System32\Drivers\pwwwdtsm.sys','');
DeleteService('pwwwdtsm');
DeleteService('lofkeqwz');
QuarantineFile('C:\WINDOWS\System32\Drivers\lofkeqwz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\iojybien.sys','');
DeleteService('iojybien');
QuarantineFile('C:\WINDOWS\System32\Drivers\fnbpxcjy.sys','');
DeleteService('fnbpxcjy');
QuarantineFile('C:\WINDOWS\System32\Drivers\ciccexdh.sys','');
DeleteService('ciccexdh');
QuarantineFile('C:\WINDOWS\System32\Drivers\baphqwrd.sys','');
DeleteService('baphqwrd');
QuarantineFile('c:\windows\system32\wodug.exe','');
TerminateProcessByName('c:\windows\explorer.exe:userini.exe');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\baphqwrd.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ciccexdh.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\fnbpxcjy.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\iojybien.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lofkeqwz.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\pwwwdtsm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qzpeojfi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\xjdesdux.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vgkapnoe.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tuyxmnru.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\tgkvbaxi.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\szqfxrpi.sys');
DeleteFile('C:\Documents and Settings\Efanova\Application Data\szywo.exe');
DeleteFile('C:\Documents and Settings\Efanova\nrbaje.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
DeleteFile('C:\Documents and Settings\NetworkService\nepxsn.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rysoun');
DeleteFile('C:\WINDOWS\system32\quooquasoohiqu.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
QuarantineFile('C:\WINDOWS\System32\winupd01.exe','');
DeleteFile('C:\WINDOWS\System32\winupd01.exe');
QuarantineFile('C:\Cookie.bat','');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(8);
Executerepair(11);
Executerepair(12);
Executerepair(13);
Executerepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\System32\winupd01.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
Карантин выслал. Логи прикрепил.
-
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('c:\windows\system32\winupd01.exe');
TerminateProcessByName('c:\windows\system32\quooquasoohiqu.exe');
DeleteService('whcqiaaov82boau');
DeleteFile('c:\windows\system32\quooquasoohiqu.exe');
DeleteFile('C:\WINDOWS\system32\wodug.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rysoun');
DeleteFile('C:\Cookie.bat');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_DeleteFile('c:\windows\system32\winupd01.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи virusinfo_syscheck.zip; hijackthis.log
-
-
В логах чисто.
на этот комп
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL]+обновления.
[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]
и можно следующую тему открывать
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]57[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\efanova\application data\szywo.exe - [B]Backdoor.Win32.EggDrop.aod[/B] ( DrWEB: Trojan.MulDrop.55658, BitDefender: Gen:Trojan.Heur.Hype.hGW@amU1HPp, AVAST4: Win32:Flot-E [Trj] )[*] c:\documents and settings\efanova\nrbaje.exe - [B]Trojan.Win32.Agent.droq[/B] ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3626722, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\networkservice\nepxsn.exe - [B]Trojan.Win32.Agent.droq[/B] ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3626722, AVAST4: Win32:Malware-gen )[*] c:\windows\explorer.exe:userini.exe - [B]Trojan-Dropper.Win32.Agent.bvsb[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CD, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\explorer.exe:userini.exe:$data - [B]Trojan-Dropper.Win32.Agent.bvsb[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CD, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\atapidrv.sys - [B]Trojan.Win32.Vrdapi.j[/B] ( DrWEB: Trojan.Rootkit.15763, BitDefender: Rootkit.Agent.AJDR, AVAST4: Win32:Inject-YB [Trj] )[*] c:\windows\system32\quooquasoohiqu.exe - [B]Trojan.Win32.Inject.aoqk[/B] ( DrWEB: Trojan.Packed.19951, AVAST4: Win32:Crypt-GCF [Trj] )[*] c:\windows\system32\userini.exe - [B]Trojan-Dropper.Win32.Agent.bvsb[/B] ( DrWEB: Trojan.Spambot.6788, BitDefender: Trojan.Spammer.Tedroo.CD, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\winupd01.exe - [B]Net-Worm.Win32.Kolab.hrr[/B] ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.Inject.VB.AM, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wodug.exe - [B]Trojan.Win32.Inject.aoqk[/B] ( DrWEB: Trojan.Packed.19951, AVAST4: Win32:Crypt-GCF [Trj] )[/LIST][/LIST]
Page generated in 0.01257 seconds with 10 queries