Беззащитный комп

Printable View

17.09.2010, 11:38
vgo

Беззащитный комп

Добрый день!

Знакомый попросил посмотреть его комп, на котором перестала загружаться система (WindowsXP). На компе не было действующего антивируса с актуальными базами.

Впоследствии, кстати, оказалось, что причина - техническая неисправность, но сначала грешил на вирусов, которых обнаружилось преизрядно, после удаления был блокирован Explorer, испорчен hosts. Ну и подозреваю, что там сидит еще глубоко законспирированная зараза.
Вроде, удалось сделать все по правилам.

Само собой, после окончания отлечивания, я поставлю все положенные фиксы, восьмой MSIE и антивирус.
17.09.2010, 11:44
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-0D344378.EXE','');
QuarantineFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys','');
DeleteFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys');
DeleteFile('C:\WINDOWS\system32\XP-0D344378.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-0D344378');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
17.09.2010, 12:32
vgo

Файл сохранён как 100917_123228_quarantine_4c93279c54ac8.zip
Размер файла 8930
MD5 939356c03a7883f1d78256df863b9283
17.09.2010, 13:03
vgo

Сделано.
17.09.2010, 13:31
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\NetworkService\lels.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lpzccagf.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
17.09.2010, 14:15
vgo

Файл сохранён как 100917_141509_quarantine2_4c933fad24060.zip
Размер файла 1202
MD5 127fd3577d01841089596bbaaa516a81
17.09.2010, 15:34
vgo

В самом деле, интересненькие файлы оно нашло.
17.09.2010, 15:38
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asocksrv (Backdoor.Tenga) -> No action taken.

Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\AKON\BYONC (Backdoor.Bot) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe (Virus.Expiro) -> No action taken.
C:\AKON\BYONC\desKtOp.InI (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.
[/CODE]

- Повторите лог
17.09.2010, 15:41
vgo

А руками можно? Я уже закрыл его, теперь заново скан запускать - это ж еще час
17.09.2010, 15:49
olejah

Как знаете, но лог всё равно повторять придётся.
17.09.2010, 17:29
vgo

Ок. Но это же будет еще лог и еще час ((

[size="1"][color="#666686"][B][I]Добавлено через 1 час 26 минут[/I][/B][/color][/size]

Сказывается конец рабочего дня - забыл сохранить лог от последнего сканирования. Так что придется на пальцах.
Руками удалось удалить все перечисленное, кроме файла E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe.
Последующее сканирование показало три уязвимости - этот файл (был удален руками) и два ключа реестра, которые не правили. Или все-таки четыре? Нет, ничего нового точно не было.
Ну, этот файл я удалил MBAMом, в логе было написано, что он благополучно удален.
Могу, конечно, еще разок сделать сканирование, но у меня тут толпа обновлений на комп рвется, сначала их поставлю.

Спасибо за помощь.
18.09.2010, 17:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{15f3181f-2dff-4adc-8ce2-dd1191f19e30}\\rp85\\a0207453.sys - [B]Worm.Win32.AInfBot.ba[/B] ( DrWEB: Tool.TcpZ )[/LIST][/LIST]