Зловред Backdoor.Win32.Sinowal.kv

Printable View

31.05.2010, 09:54
rimanya

Зловред Backdoor.Win32.Sinowal.kv

1. Вирус определяется касперским в загрузочном секторе но удалить не получается, не помогает и CureIT скрин прикрепил.
2. логи прикрепил.
31.05.2010, 10:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
DeleteService('vraydwbu');
QuarantineFile('C:\WINDOWS\System32\Drivers\vraydwbu.sys','');
DeleteService('vmi386');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi386.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\upccgswr.sys','');
DeleteService('upccgswr');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\upccgswr.sys');
DeleteFile('C:\WINDOWS\System32\drivers\vmi386.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vraydwbu.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\win32.exe');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
31.05.2010, 11:29
rimanya

1. Скрипт выполнил, перегрузился
2. Скрипт второй выполнил
3. Карантин закачал
4. новые логи сделал, прикрепил
31.05.2010, 11:39
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
DeleteService('smtpdrv');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
[/CODE]
Сделайте повторный лог hijackthis.log;
31.05.2010, 11:40
thyrex

[U]Выполните дополнительно[/U]

Скачайте [url="http://www2.gmer.net/mbr/mbr.exe"]mbr[/url]
После запуска в папке с программой найдете [B]mbr.log[/B]
Его и выложите
31.05.2010, 12:01
rimanya

Вложений: 2

1. Выполнил скрипт перегрузился;
2. Выполнил второй скрипт. Файл карантина загрузил;
3. новый лог virusinfo_syscheck.zip прикрепил;
4. профиксил в HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
новый лог прикрепил;
5. лог mbr прикрепил.
31.05.2010, 12:12
thyrex

Выполните

[B]mbr.exe -c 0x012A18AC1 0x1aa copy_of_mbr_rk[/B]

copy_of_mbr_rk прикрепите к сообщению
31.05.2010, 12:20
rimanya

1. сделал лог, прикрепил
p.s. пришлось запаковать и поставить пароль, т.к. антивирусники сразу грохают этот файл :( пароль на архив virus :(
31.05.2010, 12:35
thyrex

Сначала так еще
[B]mbr.exe -c 0 1 copy_of_sector_00[/B]

copy_of_sector_00 запакуйте и прикрепите

Затем [B]mbr.exe -f[/B]
31.05.2010, 12:44
rimanya

1. выполнил mbr.exe -c 0 1 copy_of_sector_00
2. запаковал прикрепил (пароль virus)
3. mbr.exe -f выполнил
31.05.2010, 12:49
thyrex

Теперь еще раз сделайте лог mbr.log
31.05.2010, 12:52
rimanya

Вложений: 1

прикрепил.
31.05.2010, 13:19
thyrex

Сделайте еще раз полную проверку антивирусом
31.05.2010, 14:36
rimanya

Похоже на то, что вирус остался в системе отчет прилагаю :rtfm:
31.05.2010, 14:44
thyrex

Пролечитесь [URL="http://virusinfo.info/showpost.php?p=557652&postcount=5"]так[/URL] или [URL="http://virusinfo.info/showpost.php?p=306441&postcount=2"]так[/URL]
01.06.2010, 14:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]