Неубиваемый oekx.exe

Printable View

07.12.2010, 16:14
evggrig

Вложений: 2

Неубиваемый oekx.exe

После вроде бы успешного лечения AVZ и DrWEB был удален файлик C:\Documents and Settings\Admin\Application Data\oekx.exe подменяющий собой диспетчер задач, а также куча файлов с цифровыми именами в темп папках.
Через несколько дней все это добро снова на месте. Прошу помощи в борьбе :)
07.12.2010, 16:19
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-4759905386-4967465475-809189922-4904\winmap.exe');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7ej4201b.sys','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\oekx.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
07.12.2010, 17:08
evggrig

Готово
07.12.2010, 17:12
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-4759905386-4967465475-809189922-4904\winmap.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\oekx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

[B]- Обновите базы АВЗ[/B]

- Повторите логи
07.12.2010, 17:26
evggrig

Насколько я понимаю raddrvv3.sys это хвост от убитого RADMIN? Можно ли его грохнуть? Что такое spoz.sys?
07.12.2010, 17:27
olejah

[QUOTE='evggrig;742559']Можно ли его грохнуть?[/QUOTE] Как пожелаете.

[QUOTE='evggrig;742559']Что такое spoz.sys?[/QUOTE] Драйвер программы-эмулятора дисков.
07.12.2010, 18:07
evggrig

Странно, но никакой программы-эмулятора дисков в системе нет.
В папке C:\WINDOWS\system32\ нет папки rserver30\raddrvv3.sys Выходит путь остался, а папки нету.
Как лупануть эти хвосты?
07.12.2010, 18:13
olejah

[QUOTE='evggrig;742582']Как лупануть эти хвосты?[/QUOTE] Вот так -

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('raddrvv3');
DeleteFile('C:\WINDOWS\system32\rserver30\raddrvv3.sys');
BC_DeleteSvc('raddrvv3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
08.12.2010, 14:01
evggrig

Вложений: 1

Сори за паузу. Лог ComboFix в аттаче. Судя по логу oekx.exe никуда не делся :(
08.12.2010, 18:38
evggrig

Работа по моему запросу окончена?
08.12.2010, 18:42
миднайт

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Что с проблемой?
08.12.2010, 19:13
evggrig

Пока проблем больше не вижу
09.12.2010, 06:53
polword

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
10.12.2010, 06:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\oekx.exe - [B]Packed.Win32.Krap.ig[/B] ( DrWEB: Trojan.Siggen2.11070, BitDefender: Trojan.Generic.KDV.83251, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]