Система чистая.До первого выхода в Интернет.

Printable View

23.11.2010, 21:53
mishkind

Система чистая.До первого выхода в Интернет.

Здравствуйте!

Система проверена несколькими антивирусами,
в том числе из под "не заражённой" машины,
работает нормально.

Но- только до момента установки VPN-соединения
и выхода в интернет.

При этом антивирус начинает активно
удалять троянские файлы,
которые процессы "explorer.exe" и " svchost.exe"
запускают с адресов вида (хттп)://208.53.183.181
(последние цифры могут различаться)

файлы вида 06.exe (может быть произвольная цифра)
разбрасываются в дирректорию /system32
и во временные папки интернета.

Могут быть и другие файлы,
например finish.exe , ltzqai, msvmiode, графические файлы

Теперь - вопрос.
В данный момент я запустил все процедуры лечения и диагностики,
машина с виду чистая.

Согласно инструкции я должен теперь подключить
интернет и опять запустить AVZ, а потом и HiJackThis.для продолжения диагностики

Скажите- антивирус при этом не надо отключать?
Правильно ли я понимаю, что после составления дальнейших логов
систему всё таки почистить?
или оставить с загруженными троянцами?

Что делать дальше?
23.11.2010, 22:05
mishkind

Второй вопрос ( по форуму)

У меня отображается [B]красным[/B]
надпись "прислать карантин"

[URL="http://virusinfo.info/upload_virus.php?tid=92303"]http://virusinfo.info/upload_virus.php?tid=92303[/URL]

А в правилах написано,
что без специальной просьбы- не присылать.

Вот и думай, как хочется :>
23.11.2010, 22:10
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
23.11.2010, 23:33
mishkind

Вложений: 1

Спасибо!

Сделал,
как было сказано.

Штатный антивирус был отключён,
по этому не могу сказать, устанавливались в систему файлы,
или нет.

Карантин пришлю чуть позже,
я не знаю пока, как установить пароль на полученный файл архива.
23.11.2010, 23:37
polword

Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

понаблюдайте за проблемой
23.11.2010, 23:47
mishkind

Благодарю Вас!
Обновления как раз начал устанавливать,
но не успел, штатный Nod закрыл все
соединения процессам, запускающим вредителей.

Файл с карантином оказался уже под паролем,
по этому я его всё таки загрузил по указанной мне ссылке.

Что же,
доброй ночи!

ps- пойду выполнять указания.
24.11.2010, 07:20
polword

если обновления не помогут - сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]
24.11.2010, 14:48
mishkind

Спасибо, всё случилось!

Combofix не потребовался.
Последний скрипт для AVZ показывает только одну уязвимость
-"разрешён доступ Анонимного пользователя"

В остальном система работает стабильно,
антивирусная программа ни разу больше не "семафорила"

Хочу Вас поблагодарить
и выразить восхищение Вашему опыту и знаниям!

Было бы интересно узнать, теперь,
когда всё уже работает,
где же была прописана та "вредоносная инструкция"
заставлявшая систему загружать и запускать "троянца"?

ЗЫ- на всякий случай привожу здесь последний лог
NOD-32, зафиксировавший загрузку и запуск вредоносного ПО.
25.11.2010, 14:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]