питомник зверья

Printable View

Показывать 40 сообщений этой темы на одной странице

20.03.2009, 15:07
PavelA

Осталось профиксить:
[CODE]O20 - AppInit_DLLs: karna.dat[/CODE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по ссылке.
Сделать лог Хиджака.
20.03.2009, 15:21
fotorama

ура немного времени освободилось и смог сам посмотреть логи :)
такой вапросик как вы думаете такой скрипт поможет прибить зверье???
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
SetServiceStart('Beep', 4);
DeleteService('Beep');
QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
DeleteFile('C:\WINDOWS\karna.dat');
DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
DeleteFile('Beep.sys');
DeleteFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
больше всего меня валнует [B]Beep.sys[/B] и [B]karna.dat[/B] поскольку его я уже пытался их удалить оч много раз а они все еще живы.....

Павел спасибо за скрипт
кода постил сво пост не заметил что вы уже ответили........
но в вашем скрипте нет про beep.sys.... как мне от него избавиться?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

п/с выполняю ваш скрипт сейчас карантин и логи будут
20.03.2009, 15:25
fotorama

Вложений: 1

карантин пуст :(
лог прилогаю
20.03.2009, 15:26
PavelA

DeleteFile('Beep.sys'); не сработает, нужна директория.

Ты его на проверку пришли, через карантин AVZ.
Еще увидел
[CODE]O23 - Service: Windows Service Pack Installer update service (spupdsvc) - Unknown owner - C:\WINDOWS\system32\spupdsvc.exe (file missing)[/CODE]
20.03.2009, 15:38
fotorama

еще вопрос про C:\WINDOWS\system32\iedkcs32.dll
авз на него ругается до этого на него ругался сканер доктор веба с laveCD....
вроде это нужный файл от ие.... что с ним делать?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=PavelA;374839]DeleteFile('Beep.sys'); не сработает, нужна директория.[/QUOTE]

а DeleteService('Beep');??? вроде если он грохнет сервес то и файл прибьет.... или я ошибаюсь?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

с помощью[B] поиска файлов на диске [/B] нашол его место.... system32\dllcache\beep.sys
может его грохнуть?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

сейчас скриптмком его попробовал прибить... и заново логи делаю .... но если он опять жив я уже не знаю что делать...
20.03.2009, 15:41
PavelA

Это копия его в кеше сидит, а сам он должен быть в system32\drivers
20.03.2009, 15:43
fotorama

beep.sys
Файл сохранён как 090320_154227_virus_49c38f332a5a2.zip
Размер файла 16197
MD5 926fb05166459dc802302481733dbfb7
20.03.2009, 15:47
PavelA

C:\WINDOWS\system32\iedkcs32.dll - этот, скорее всего, чистый.

Надо сделать Гмером лог.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Твой beep.sys подмененный - Hacktool.rootkit по Симантеку. Если в dllcashe рамер у него другой, то надо будет заменить его.
20.03.2009, 15:53
fotorama

[QUOTE=PavelA;374848]Это копия его в кеше сидит, а сам он должен быть в system32\drivers[/QUOTE]

В system32\drivers я его не нашол:(
20.03.2009, 15:58
PavelA

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
BC_DeleteSvc('Beep');
DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Beep.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\Beep.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
20.03.2009, 16:14
fotorama

логи повторить?
20.03.2009, 16:19
PavelA

Конечно. Да, и сам ты сможешь увидеть в процессе выполнения скрипта удалилось или нет.
24.03.2009, 09:49
fotorama

Вложений: 3

извените за задержку, просто времени небыло :(
вот новые логи вроде ни чего креминального нет
24.03.2009, 10:01
PavelA

Профиксить:
[CODE]O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL (file missing)[/CODE]

F:\autorun.inf - это твое?
24.03.2009, 12:36
fotorama

спасибо
да авторан мой:)
25.03.2009, 12:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]136[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\antiviruspro2009\antiviruspro2009.exe - [B]Trojan.Win32.FraudPack.gwh[/B] ( DrWEB: Trojan.Fakealert.2088, BitDefender: Trojan.FakeAV.DM )[*] c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.au[/B] ( DrWEB: Adware.Websearch, BitDefender: Adware.Generic.31741 )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp540\a0220664.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221663.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221664.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221665.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221666.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222665.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222666.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233669.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233670.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233671.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233672.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\windows\brastk.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\windows\system32\dllcache\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )[*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )[*] c:\windows\system32\karna.dat - [B]Backdoor.Win32.Small.gjm[/B] ( DrWEB: Trojan.Proxy.1739, BitDefender: Backdoor.Agent.ZWW )[*] c:\windows\system32\_scui.cpl - [B]Trojan.Win32.FraudPack.gyi[/B] ( DrWEB: Trojan.Fakealert.2082, BitDefender: Trojan.FakeAlert.AOS )[*] f:\autorun.inf - [B]Worm.Win32.AutoRun.dmp[/B] ( DrWEB: Win32.HLLW.Autoruner.840, BitDefender: Trojan.Component.AI )[*] f:\printer.exe - [B]Worm.Win32.VB.el[/B] ( DrWEB: Trojan.Dafut, BitDefender: Worm.VB.NGS )[/LIST][/LIST]

Показывать 40 сообщений этой темы на одной странице