Прошу помочь с жутким "oekx.exe'

Printable View

10.12.2010, 08:56
Angel_A

Прошу помочь с жутким "oekx.exe'

столкнулась с данной проблемой.. очень прошу помочь. боролась сама 4 дня. не выходит:( спасибо
10.12.2010, 10:13
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\', '*.*', true, '01ARX');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
10.12.2010, 10:39
Angel_A

не смогла залить карантин. пишет,что файл уже был залит
10.12.2010, 11:39
V_Bond

выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\oekx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
10.12.2010, 12:12
Angel_A

кстати, вирус в самом начале создал себе папку на диске Д. щас не могу ее удалить. ну никак вообще.говорит,что в доступе отказано
10.12.2010, 12:30
V_Bond

выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
так [url]http://virusinfo.info/showthread.php?t=17228[/url] попробуйте удалить папку с диска d
10.12.2010, 13:15
Angel_A

папку сначала не хотел убирать писал deleted failed, но потом таки убрал. но увидела,что есть 4 странно названные папки,которые не убираются вообще никак.
10.12.2010, 13:24
V_Bond

выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\temp\486.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\temp\082.exe');
DeleteFileMask('%Tmp%', '*.*', true, '01ARX');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите virusinfo_syscheck.zip
10.12.2010, 13:36
Angel_A

кстати, может это несущественно, но при загрузке он выбирает между двумя вариантами Windows - одна обычная, а другая какая-то с отладками. причем выбрать не дает, экран обновляется через 2 сек
10.12.2010, 13:52
thyrex

Плохого не видно

[b][color="#FF0000"]Внимание![/color][/b] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [B]прекращена[/B]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
10.12.2010, 17:10
Angel_A

хорошо, спасибо. буду надеяться,что все удалилось..
просто уже один раз вроде все убрала. а оно опять появилось..

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 0 минут[/I][/B][/color][/size]

гм, сделала по рекомендациям. перешла под ограниченную запись (лечила под админом)
сейчас вирус царит в юзере, а в одмине ничего.. что делать? все те же скрипты, но в юзере прогнать?
10.12.2010, 17:22
V_Bond

сделайте virusinfo_syscheck.zip под юзером
10.12.2010, 17:26
Angel_A

хотя чего там. уже в админскую вирус пролез :/
10.12.2010, 17:54
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\hmm\Application Data\oekx.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\57.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
10.12.2010, 18:18
Angel_A

появился taskman.exe
10.12.2010, 19:28
Angel_A

хм?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

все вернулось. проделываю скрипт- через минут 15, максимум час возвращается все
10.12.2010, 20:56
thyrex

Обновления установили, вышедшие после SP3? Если нет, нужно это сделать. У Вас сетевой червь

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
11.12.2010, 10:39
Angel_A

если б все дело было только в черве..
обновления установила
11.12.2010, 11:37
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]Заражённые папки:
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455 (Worm.AutoRun) -> No action taken.

Заражённые файлы:
c:\documents and settings\alina\application data\oekx.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\alina\local settings\temporary internet files\Content.IE5\DKNF60S6\thenadioscbw[1]._ (Trojan.Agent) -> No action taken.
c:\documents and settings\hmm\application data\oekx.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\hmm\local settings\temp\27677.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temp\372529.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temp\496397.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temp\9018589.exe (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\meinsummer20019[1].cq (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\psjefwbh[1]._ (Backdoor.Bot) -> No action taken.
c:\documents and settings\hmm\local settings\temporary internet files\Content.IE5\BEXJ7NRI\thenadioscbw[1]._ (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[2].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\M0JSCHH6\nnet[3].exe (Trojan.Agent) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\cfdrive32.exe.vir (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\08.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\83.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1455\Desktop.ini (Worm.AutoRun) -> No action taken.[/code]