Баннер 3381

Printable View

20.05.2010, 23:04
dcvf

Баннер 3381

Добрый вечер!
Подцепил сабж. При попытке запуска AVZ комп выключается.
Удалил кучу файлов с рандомными именами без иконок из system32 и файл system.exe из all users. Также пофиксил жуткий параметр, начинавшийся с R3. Все эти действия практически ничего не изменили. Осталось ещё много подозрительных с О4, прошу посмотреть.
Точное содержимое параметра Applnt_DLLs:
C:\WINDOWS\system32\npdx.dll
20.05.2010, 23:21
thyrex

Из-под LiveCD:
1. Переименуйте C:\WINDOWS\system32\npdx.dll
2. Очистите значение параметра Applnt_DLLs
3. Перезагрузитесь и пробуйте загрузиться в обычном режиме.

Если баннер пропал, делайте логи в полном объеме + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
21.05.2010, 00:50
dcvf

Сделано!
21.05.2010, 01:02
thyrex

c:\windows\system32\msgsvc.dll проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите

Файл, который переименовывали, запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\he.dll
c:\windows\system32\pazw.dll
c:\windows\system32\qziiff.dll
c:\windows\system32\reqyaa.dll
c:\windows\system32\fjtl.dll
c:\windows\system32\gy.dll
c:\windows\system32\cqpcjwjn.dll
c:\windows\system32\yddy.dll
c:\windows\system32\qwe.dll
c:\windows\system32\eij.dll
c:\windows\system32\otkgm.dll

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA','');
DeleteFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]
Сделайте новые логи
21.05.2010, 02:27
dcvf

К сожалению, проверить файл не получилось, и он уже исправлен combofix. Карантины выслал. После перезагрузки включился Symantec и поместил в карантин файл vdqwodiy.sys из папки drivers. Собственно, компьютер, похоже, полностью восстановил работоспособность.
21.05.2010, 07:52
thyrex

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Выполните скрипт в AVZ
[code]begin
DeleteFile('C:\System Volume Information\_restore{B21C9EBA-BFBC-4546-B3F5-7C60D141E169}\RP1\A0000249.inf:q8c0R4ShLXO6mB:$DATA');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip
21.05.2010, 21:16
dcvf

Может, лучше всё-таки отправить карантин по форме форума? У меня ящики на mail.ru и на nextmail.ru, на оба письмо возвращается, так как во вложении содержатся вирусы.
21.05.2010, 21:22
thyrex

[QUOTE='dcvf;641565']Может, лучше всё-таки отправить карантин по форме форума?[/QUOTE]Выложите на файлообменник, а ссылку пришлите мне на e-mail

Чисто

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
22.05.2010, 21:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\inf\scsi.inf:q8c0r4shlxo6mb:$data - [B]Trojan-Ransom.Win32.XBlocker.acx[/B] ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \qwe.dll - [B]Trojan-Ransom.Win32.XBlocker.acx[/B] ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]