Printable View
[QUOTE=dumer;88310]И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'
Есть lz32.dll и lzexpand.dll. Удалить их?[/QUOTE]
Удалять ничего не нужно. Если Вы не видете чего-то, это не значит что его нет :)
Нужно повторить логи.
Новые логи. Карантин тоже закачал.
Смотрю как трафик в никуда уходит 24 часа в сутки у меня аж сердце кровью обливается. :'-(
Так и не добавилась часть файлов. Выполните скрипт
[code]begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\inet20125\services.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
end.[/code]
Получившееся пришлите согласно правилам
[quote=dumer;88322]Карантин тоже закачал.
[/quote]
Карантин идентичен первому
Дело в том что один из руткитов так и не удалился. Видимо его кто0то восстанавливает.
[QUOTE=dumer;88310]И нету никаких lzx32.sys
и нету 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PE386'
[/QUOTE]
Есть, это rootkit, причём его выковыривание из системы достаточно трудоёмко.
Попробуйте этим - [url]http://www.uploads.ejvindh.net/Rustbfix.exe[/url] после запуска будет 2 перезагрузки, и два лога c:\avenger.txt & c:\rustbfix\pelog.txt
[url=http://virusinfo.info/showthread.php?t=4491]пофиксите[/url] в Hijack -
[code]
O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
[/code]
Прекрипите к следующемe сообщению 2 лога rustbfix и повторите ещё раз 1-й лог AVZ из правил.
[QUOTE=dumer;88310]Есть lz32.dll и lzexpand.dll. Удалить их?[/QUOTE]
Нет.
[quote=RiC;88350]
Попробуйте этим - [URL]http://www.uploads.ejvindh.net/Rustbfix.exe[/URL]
[/quote]
Пишет не совместимая версия ОС.
В режиме совместимости пишет это:
************************* Rustock.b-fix -- By ejvindh *************************
20.12.2006 9:44:20.40
No Rustock.b-rootkits found
******************************* End of Logfile ********************************
Загрузка стала очень медленной (около получаса)
Слетели настройки DCOM и расшареных ресурсов.
Отчего бы это?
К тому-же, я никого не вижу, и меня не видно в сетевом окружении. Не работают все программы опирающиеся на настройки прав пользователя на уровне домена.
Блин.
Уже 10 минут спам с моей машины не идёт. После перезагрузки вылез "мастер нового оборудования" может он в дровах прятался?
Темпы попрежнему не удаляются. Что-то подозрительное идёт с клиентской машины может он гад в сеть перебрался.
Закачал карантин. Вот новые логи:
[quote=dumer;88382]
Слетели настройки DCOM и расшареных ресурсов.
Блин.[/quote]
Попробуйте восстановить бэкап хайджека:
O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
Если не поможет, то снова удалите.
Хотел нарисовать скрипт, но получится дольше.
Вот маленький - для убиения taskdir, если она все же еще жива (в логах есть и должна быть видна в безопасном режиме):
[CODE]
begin
ClearQuarantine;
if SetAVZGuardStatus(True) then
AddToLog('AVZGuard успешно активирован')
else
AddToLog('AVZGuard - ошибка активации');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\WINDOWS\system32\taskdir~.exe');
DeleteFile('C:\WINDOWS\system32\taskdir.dll');
QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
dimsntfy.dll из карантина пришлете по Правилам, посмотрим.
Но это лирическое отступление. Что касаемо system32:lzx32.sys - если эта пакость не убита, она снова заработает. Я его убивал так :
1. Активировать AVZGuard.
2. "Сервис" - "Поиск данных в реестре". Вверху ввести lzx32.sys и Пуск.
Найденные ключи сохраните в файл для истории (покажете тут) и удалите. Далее перезагрузка, не закрывая AVZ и его Guard.
3. После перезагрузки файл system32:lzx32.sys на месте , но работать уже не будет и доступен для издевательства.
Я это делал маленькими утилитками вот отсюда:
[url]http://www.flexhex.com/docs/articles/download/streamtools.zip[/url]
Из этого 75 кБ архива пригодятся две утильки - "copy stream" CS.exe и "delete stream" DS.exe. Распакуйте из архива, скажем, в C:\streamtool.
Сначала скопируем для отправки в форум:
C:\streamtool\CS.exe C:\WINDOWS\system32:lzx32.sys C:\streamtool\trojan.sys
Потом убьем троян:
C:\streamtool\DS.exe C:\WINDOWS\system32:lzx32.sys
Можно убедиться в результате:
C:\streamtool\LS.exe C:\WINDOWS\system32
Скопированный из потока в файл C:\streamtool\trojan.sys пришлите по Правилам (в архиве с паролем virus, проще всего это делать из "Просмотра карантина AVZ - добавить по списку C:\streamtool\trojan.sys и заархивировать").
"Ошибка скрипта: Not enough actual parameters, позиция [10:16]"
Что-то я не понимаю как расшифровать [10:16].
Убрал из скрипта "if ... else..." Включил AVZGuard ручками.
В логах АВЗ написал, что фаил можно удалить только после перезагрузки. Так и не понял удалил нет...
В карантине АВЗ dimsntfy.dll нету я его ручками из систем32 вытащил.
lzx32.sys похоже убил. Высылаю карантин и где он в реестре прятался.
Раз AVZ написал, что после перезагрузки - так и есть, надо перезагрузиться. Файл будет удален в начале загрузки.
перезагрузился сразу.
Для проверки можно создать пустой файл C:\windows\system32\taskdir.exe. При этом не должно быть ошибки - значит, счастье уже убито, пустой файл можно удалить.
Этот taskdir - спамбот, умеет себя скрывать, пока работает.
Умеет обновляться и еще таскает всякую пакость по заданию с сайта - чаще всего Trojan.EmailSpy и еще какую-то тырилку паролей под именами taskdir~.exe и taskdir.dll соответственно.
Стоило бы еще очистить директории кэша IE и временных файлов - от исполняемых файлов точно надо.
%userprofile%\Temporary Internet Files\
%userprofile%\Temp
Если есть там неудаляемые - убить отложенным удалением AVZ.
У меня он аську стандартную 12 раз скачал за прошлый месяц. сцук!
[quote=Alexey P.;88441]Для проверки можно создать пустой файл C:\windows\system32\taskdir.exe. При этом не должно быть ошибки - значит, счастье уже убито, пустой файл можно удалить.
[/quote]
УРААА!!!! :D Создаётся фаил. Кажись убили гада.
Господа, бесконечно благодарен вам.
Теперь у меня другой вопрос: как благодарность вам перечислить?
[QUOTE=dumer;88447]УРААА!!!! :D Создаётся фаил. Кажись убили гада.
Господа, бесконечно благодарен вам.
Теперь у меня другой вопрос: как благодарность вам перечислить?[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=1739[/url]
Нет, я думаю, это не он аську качает. Кто-то из его компании, вроде начальный загрузчик всего этого добра - чаще всего файл win32[1].exe в кэше IE.
Проверьте всё свежим CureIt-ом или касперским на досуге как нибудь.
не могу сетевую версию касперского найти. Работу МсАфее я вижу только наличаем его значка в трее. Кукиши почистил. Ехе-ников небыло.
А если я НОД32 или касперского с мкафее поставлю они воевать не будут?
[quote=dumer;88464]А если я НОД32 или касперского с мкафее поставлю[/quote]
На одну машину? Это будет братоубийство... Одоного антивируса на машине хватает с головой!