Подозрения на червь

Printable View

06.02.2011, 12:59
killrok6

Подозрения на червь

Здравствуйте! Недавно появились подозрения что я подхватил червя...
Ресурсы вроде Вашего перестали грузиться у меня на машине (сейчас с виртуальной), так же совсем недавно при вставлении флешки в другую машину, где стоит нод32, он поругался на авторан на флешке и на червя

Логи:
06.02.2011, 15:15
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\odwkx.dll','');
DeleteFile('C:\WINDOWS\system32\odwkx.dll');
QuarantineFile('C:\hujna;al\bot.exe','');
QuarantineFile('C:\WINDOWS\system32\sqlncli.dll','');
QuarantineFile('C:\Program Files\InfinityMU\MuGuard\llck1.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\svchost.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ServiceKill('qveoggxfu');
BC_Activate;
Rebootwindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
06.02.2011, 18:56
killrok6

После выполнения скриптов смог зайти на Ваш сайт со своего компьютера :)

Карантин отправил

Logs:
11.02.2011, 16:00
killrok6

Вы проверили новые Логи?
11.02.2011, 16:15
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O3 - Toolbar: Яндекс.Бар (для uTorrent) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - C:\Program Files\Yandex\YandexBarIE\bars\barietorrent\yndbar.dll (file missing)
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('vtany');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Что с проблемами?
12.02.2011, 16:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\hujna;al\\bot.exe - [B]Backdoor.Win32.Kbot.s[/B] ( DrWEB: Trojan.DownLoader.26661, BitDefender: Trojan.Generic.6108469, NOD32: Win32/Agent.NGC trojan, AVAST4: Win32:Small-JGP [Trj] )[*] c:\\windows\\system32\\mssrv32.exe - [B]Backdoor.Win32.Kbot.s[/B] ( DrWEB: Trojan.DownLoader.26661, BitDefender: Trojan.Generic.5959985, NOD32: Win32/Agent.NGC trojan, AVAST4: Win32:Small-JGP [Trj] )[*] c:\\windows\\system32\\odwkx.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow, BitDefender: Win32.Worm.Downadup.Gen, AVAST4: Win32:Confi [Wrm] )[/LIST][/LIST]