Возможно инфицирован

Printable View

10.03.2011, 22:20
killro0000

Возможно инфицирован

Здравствуйте! Это опять Я! По прошествии некоторого времени сайты компаний антивирусов, Ваш форум и майкрософт перестали работать
Судя по всему компьютер снова заражен...
Просьба написать чем заражен компьютер?

Логи:
11.03.2011, 00:23
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('jekatgk');
DeleteFileMask('C:\hujna;al', '*.*', true);
DeleteDirectory('C:\hujna;al');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
SaveLog(GetAVZDirectory+'jekatgk.log');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- файл [COLOR="Blue"][B]jekatgk.log[/B][/COLOR] прикрепите к сообщению
11.03.2011, 08:40
killro0000

Карантин отправил, логи прислал:
11.03.2011, 08:53
Bratez

Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\odwkx.dll');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('jekatgk');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
Что с проблемами?
11.03.2011, 18:03
killro0000

Здравствуйте! Неработающие сайты заработали :)

Компьютер Был заражен чем-то ? Или же это остатки от старых троянов?

Логи:
11.03.2011, 21:32
thyrex

Это Kido

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
12.03.2011, 19:23
killro0000

[QUOTE=thyrex;774349]Это Kido
[/QUOTE]
Я так понимаю Ваши скрипты удалили этого червя? И нужно ли на всякий случай сменить пароли? Или-же Kido не ворует их?
12.03.2011, 23:17
thyrex

Кидо не ворует пароли. Вирус удален
21.03.2011, 14:22
killro0000

Здравствуйте! Опять появились те-же проблемы! :(

Логи:
21.03.2011, 15:08
thyrex

[QUOTE=thyrex;774349]Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows[/QUOTE]Сделали? Если нет, то вот Вам и одна причина
Вторая - уязвимости MS SQL Server

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
14.04.2011, 21:55
killro0000

Обновления не делал!

Проблемма скорее всего в MSSQL... (gmer на него ругаеться (я его удалил))

Полный лог (Сканирование Всей системы) к сожалению сделать не удалось,
постоянно через определенный промежуток времени кидало в BSOD (Компьютер не трогал...)

Лог Быстрого Сканирования:
15.04.2011, 01:27
thyrex

Нужен лог полного сканирования, а не экспресс-проверка
15.04.2011, 16:40
killro0000

Full Log:
15.04.2011, 23:06
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него текст скрипта
[CODE]8984c68v.exe -del service royjijwqe
8984c68v.exe -del file "C:\WINDOWS\system32\odwkx.dll"
8984c68v.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\royjijwqe"
8984c68v.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\royjijwqe"
8984c68v.exe -reboot[/CODE]2. Нажмите [b]Файл[/b] - [b]Сохранить как[/b]
3. Выберите папку, в которую сохранили [b]8984c68v.exe[/b] (gmer)
4. Укажите [b]Тип файла[/b] - [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]cleanup.bat[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите [b]cleanup.bat[/b]

[color="red"][b]ВНИМАНИЕ:[/b][/color] Компьютер перезагрузится!!!

Сделайте новый лог gmer
16.04.2011, 17:12
killro0000

Сайты антивирусных компаний стали работать после Выполнения Скрипта!
Но gmer еще ругаеться на
[CODE]
Service C:\Program Files\Microsoft (*** hidden *** ) [DISABLED]MSSQLSERVER <-- ROOTKIT !!![/CODE]

Лог:
17.04.2011, 00:28
thyrex

Это ложное срабатывание gmer
17.04.2011, 00:38
killro0000

Руткит удален? Компьютер чист? :)
17.04.2011, 00:50
thyrex

Придраться не к чему
18.04.2011, 00:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\odwkx.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AI worm, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]