wuaucldt и компания

Printable View

21.05.2010, 12:48
aspu

wuaucldt и компания

Какую-то гадость притащили злодеи а дрвеб проглядел :(
wmicvrts и wuaucldt процессы висят, безопасный режим не грузится, HiJack и avz убивает на лету, дрвеб ничего не видит. Путем переименования авз в абырвалг удалось его запустить , и после изнасилования wuaucldt.exe hijack успел один раз выполниться прежде чем уйти в ребут. Поможите чем можите :)

З.Ы. Карантинчик
Файл сохранён как 100521_125107_2010-05-21_4bf6497ba8985.zip
Размер файла 344936
MD5 bdf4aff76ae9d54fd7cf5485d17e8eab
21.05.2010, 12:56
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wmicvrts.exe');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\implayok.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\networkservice\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\mtisiz\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\imPlayok.exe','');
QuarantineFile('c:\windows\system32\wmicvrts.exe','');
DeleteFile('c:\windows\system32\wmicvrts.exe');
DeleteFile('C:\Documents and Settings\NetworkService\imPlayok.exe');
DeleteFile('c:\documents and settings\mtisiz\wuaucldt.exe');
DeleteFile('c:\documents and settings\networkservice\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\implayok.exe');
DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','imPlayok');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам
21.05.2010, 13:07
aspu

Пока два лога, третий выполняется
21.05.2010, 13:28
DefesT

По логам чисто. Карантин пришлите!
21.05.2010, 14:44
aspu

Третий лог и карантин
Файл сохранён как 100521_144302_2010-05-21_4bf663b6cd34b.zip
Размер файла 3289110
MD5 774d82fc60f6ad0ffebb6a6e0c752f8f
21.05.2010, 15:40
DefesT

Удалим остатки:[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\MTISIZ\Local Settings\Temporary Internet Files\Content.IE5\KLQNGXYJ\2ba[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\8325O1GF\n1b[2].zip');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WKZ54OKY\mg32[1].exe');
DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0111168.sys');
DeleteFile('C:\System Volume Information\_restore{358DA98F-C4C1-4B11-A825-B823ED4F6225}\RP660\A0117666.exe');
DeleteFile('C:\WINDOWS\Temp\tmp1983.exe');
DeleteFile('C:\WINDOWS\Temp\tmp972.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пк перезагрузится. Что с проблемой?
21.05.2010, 15:45
aspu

Вроде чисто. Огромное спасибо /:)
22.05.2010, 15:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\mtisiz\local settings\temporary internet files\content.ie5\klqngxyj\2ba[2].zip - [B]Backdoor.Win32.Cetorp.gr[/B] ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3686051 )[*] c:\documents and settings\networkservice\implayok.exe - [B]Trojan-PSW.Win32.Agent.qpp[/B] ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\wkz54oky\mg32[1].exe - [B]Trojan-Downloader.Win32.Small.kmj[/B] ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\8325o1gf\n1b[2].zip - [B]Trojan.Win32.Buzus.dwin[/B] ( DrWEB: Trojan.Packed.20052, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )[*] c:\documents and settings\networkservice\wuaucldt.exe - [B]Trojan-Downloader.Win32.Small.kmj[/B] ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )[*] c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0111168.sys - [B]Rootkit.Win32.Agent.aaew[/B] ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )[*] c:\system volume information\_restore{358da98f-c4c1-4b11-a825-b823ed4f6225}\rp660\a0117666.exe - [B]Trojan-Downloader.Win32.Small.kmj[/B] ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\implayok.exe - [B]Trojan-PSW.Win32.Agent.qpp[/B] ( DrWEB: Trojan.Siggen.64400, BitDefender: Trojan.Generic.3692232, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\wmicvrts.exe - [B]Trojan.Win32.Agent.dthx[/B] ( DrWEB: Trojan.MulDrop1.15573, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:IRCBot-DRF [Trj] )[*] c:\windows\temp\tmp1983.exe - [B]Trojan-Downloader.Win32.Small.kmj[/B] ( DrWEB: Trojan.MulDrop1.15734, BitDefender: Trojan.Generic.3688172, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]