Сделал все как описано в правилах. Вроде исходящий траффик потух но чтобы убедиться все ли вылечилось, посмотрите плиз логи.
Printable View
Сделал все как описано в правилах. Вроде исходящий траффик потух но чтобы убедиться все ли вылечилось, посмотрите плиз логи.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\DOWNLO~1\CSViewer.ocx','');
QuarantineFile('C:\Windows\xpupdate.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\vsb.sys','');
QuarantineFile('C:\WINDOWS\qvphook.dll','');
RebootWindows(false);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
@NecroMaster
После скрипта MaXimа: Удалите NewDotNet, только точно, как здесь описано, а то останетесь без сети: [url]http://www.computerbild.ru/?did=14_1086[/url]
файл загрузил.
только в карантине не было файла xpupdate.exe
[quote=Rene-gad;110128]@NecroMaster
После скрипта MaXimа: Удалите NewDotNet, только точно, как здесь описано, а то останетесь без сети: [URL]http://www.computerbild.ru/?did=14_1086[/URL][/quote]
спасибо... удалил.
[QUOTE=NecroMaster;110131]файл загрузил.
только в карантине не было файла xpupdate.exe[/QUOTE]
попробуйте с помощью АВЗ найти и ручками в новый архив запаковать. Заодно пофиксите [QUOTE]O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe[/QUOTE]
3 закачанных файла по [B]вирустотал[/B] чистые
нет файла.
смотрел глазами в папке windows, искал с помощью avz, искал с помощью винды. Включил показывать скрытые и системные файлы.
И самое главное. Огромный исходящий траффик остался.
@NecroMaster
повторите пожалуйста логи, как в Вашем первом сообщении.
теперь гораздо больше красноты
[QUOTE=NecroMaster;110167]теперь гораздо больше красноты[/QUOTE]
Что Вы имеете ввиду под краснотой?
Попробуте удалить вручную через regedit
[QUOTE]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Windows update loader[/QUOTE]
Файл есть и в HJT и в АВЗ-логах. Посмотрите установки для поиска : [url]http://freenet-homepage.de/rene-gad/invisible.html[/url]
Ищите через АВЗ по маске [B]xpupdate.*[/B] или [B]xpupdat*[/B] - м.б. у файла скрытое расширение, напр. xpupdate.exe_______________________________________________________________________com, в этом случае его труднее поймать за хвост.
[quote=Rene-gad;110170]Что Вы имеете ввиду под краснотой?
Попробуте удалить вручную через regedit
[/quote]
когда АВЗ сканировал систему в первый раз то в окне отчета вроде не выводилось столько красных строчек. Насчет scvhost'а и других. А сейчас я заметил.
Попробуйте такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\Windows\xpupdate.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите по правилам то, что попадет в карантин.
установил outpost firewall
вот что пишет:
svchost.exe пытался получить доступ к rawsocket
и
svchost.exe пытается с разных портов попасть на сайт russiapays.com по 80 порту...
этих портов он очень много открывает
Bratez
попался только svchost.exe, файл закачал
xpupdate.exe так и не нашел на компе. запись в реестре почистил.
Поймался свеженький! :) На Virustotal'e на него многие обзываются по-разному, а вот КАВ еще не знает, я им отправил. Давайте его прибъем:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteFile('C:\WINDOWS\svchost.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
а после перезагрузки опять попробуем поймать неуловимого, чем черт не шутит :) :
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\xpupdate.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Если попадется - шлите, а если нет - сделайте новые логи.
у нас уже поздно... мне надо уходить. продолжим завтра если Вы не против.
два последние скрипта выполнил. xpupdate.exe не поймался. завтра скину новые логи.
продолжим?
вот последние логи
при проверке выделил файл IMEn находящийся в windows\system32
nod что то заподозрил но сказал что неизвестный вирус. Отправил им.
по вирус тотал не однозначные мнения.
[QUOTE]Отправил им.[/QUOTE]
А нам?! ;) Файл действительно подозрительный.
В первых логах что-то я этого не припомню, хотя может и прозевал.
Вот это надо фиксить:
[code]
O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet\nnrun.exe" "C:\Program Files\NewDotNet\nncore.dll" ServiceStart (file missing)
O23 - Service: Поставщик поддержки безопасности NT LM NtLmSspBITS (NtLmSspBITS) - Unknown owner - C:\WINDOWS\system32\IMEn.exe
[/code]
Первое - ошметки от NewDotNet, а касательно второго: настоящая служба "Поставщик поддержки безопасности NT LM" имеет имя [B]NtLmSsp[/B] и исполняемый файл у нее [B]lsass.exe[/B].
Так что выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\IMEn.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
и карантин в студию, а потом запустите окошко командной строки и выполните в нем команды:
[B]sc delete NNServ
sc delete NtLmSspBITS[/B]
[quote=Bratez;110318]А нам?! ;) [/quote]
а вам только после запроса, так в правилах написано ;)
файл заслал.
Спасибо что помогли все красиво почистить.
Вот еще скрипт для удаления файла, т.к. [B]sc [/B](afaik) только удаляет ключ в реестре:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\IMEn.exe');
BC_DeleteFile('C:\WINDOWS\system32\IMEn.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте лог HijackThis для контроля.
P.S. Это был [B]Backdoor.Win32.IRCBot.abc[/B]. Мутант какой-то - в соседней теме он косил под службу автообновлений.