NT AUTHORITY\SYSTEM+Virut+mod.Hosts

Printable View

12.10.2010, 21:58
Beloff

NT AUTHORITY\SYSTEM+Virut+mod.Hosts

Доброго времени суток!
Когда заподозрил неладное попытался скачать CureIT - невозмжно зайти на антивир.сайты!
Использовал 11-дневной давности - обнаружил Virut, Backdoor, и модифицированый Hosts.
Далее Чистил AVP - тоже старый (потом новый)
Полную проверку провести невозможно - NT AUTHORITY\SYSTEM "Завершение работы системы" .....services.exe .... с кодом состояния 1073740972
Выполнил:
Выполнить>>sconfig>>Автозагрузка>>Убил "dumprep 0 -u"
В результате заработал Virusinfo (может и не из-за этого)
Сделал логи AVZ+hijack
Прикрепляю
Заранее спасибо за ваш праведный труд!
12.10.2010, 22:31
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\rtkbtmnt.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\rtkbtmnt.exe','');
TerminateProcessByName('c:\windows\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rcx7tc.exe','');
QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\wudfhost.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002222.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002246.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002805.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003276.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003620.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004635.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004654.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004680.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004711.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0005098.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\WinRAR\MSDLLW~1\msftldr.dll','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0005098.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004711.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004680.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004654.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0004635.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003620.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0003276.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002805.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002246.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{4AB3431F-07CC-4ABC-8EAF-D5869BF3EB58}\RP11\A0002222.exe:userini.exe:$DATA');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rcx7tc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','zhswcl');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
13.10.2010, 00:03
Beloff

Скрипты выполнил.
Карантин выслал.

После повторного "Скрипта лечения/карантина..." вылезло "Завершение работы системы.... ....services.exe..."
На сайт virusinfo.info - идти не хотел(((
13.10.2010, 07:53
olejah

У Вас файловый вирус, пришлите файл АВЗ в zip архиве, с паролем [B]virus[/B] по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] вверху Вашей темы. Пролечитесь так - [URL="http://virusinfo.info/showthread.php?t=15927"]http://virusinfo.info/showthread.php?t=15927[/URL] [B]со всеми подключенными съёмными устройствами.[/B]
16.10.2010, 20:28
Beloff

Вот вроде и все

Пролечился с помощью Dr.Web LiveCD!
Было убито несметное множество распространившегося по всем щелям вируса Virut.56 и еще парочка))))
Винда заработала, скопированы все важные данные на болванки. Операционная система была переустановлена в связи с ее не полной работоспособностью (многие системные *.exe и *.cab файлы были не излечимы и удалены - полностью слетели WiFi, Lan).
Свежий CureIT ничего не нашел!
Свежие логи прикрепляю!
17.10.2010, 04:03
Bratez

В логах ничего подозрительного, но:
[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.34[/QUOTE]
Для большей уверенности скачайте AVZ 4.35, обновите ее базы и сделайте логи заново.
17.10.2010, 13:27
Beloff

Сделано

Скачал AVZ 4.35
Обновил базы
Вот логи:
17.10.2010, 13:53
Bratez

Чисто.
18.10.2010, 13:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\admin\\applic~1\\winrar\\msdllw~1\\msftldr.dll - [B]Trojan.Win32.Agent.gwoy[/B] ( DrWEB: Tool.Siggen.6125, BitDefender: Gen:Variant.Hyat.1, AVAST4: Win32:Malware-gen )[/LIST][/LIST]