Printable View
комп жутко тормозит процес csrss.exe в safe mode ел под 100% производительности
откозал лпт порт
после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE
в и нет зашол ведя в проводнике адрес сайта
помогите кто может
зарание благодарен
в карантин попало 2 файла
вам их выслать или пока рано?
в AVZ восстановление системы -- п.3,4,16
А логи все равно потребуются. Старожил, а нарушаешь. :(((
[quote=PavelA;116579]в AVZ восстановление системы -- п.3,4,16
А логи все равно потребуются. Старожил, а нарушаешь. :((([/quote]
извеняюсь за запоздавшое добовление логов...
просто с того компа это не получилось... пришлось идти к себе в кабинет..... сейчас все добавил жду укозаний
[QUOTE]после проверки cureati удалило 23 трояна но после этой проверки перестал запускаться IE [/QUOTE][QUOTE]Старожил, а нарушаешь.[/QUOTE]Сторожил, а так и не научился комп защищать. :( Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\WINDOWS\System32\t0.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\retadpu27.exe');
BC_QrSvc('xpdx');
BC_DeleteSvc('xpdx');
BC_DeleteFile('C:\WINDOWS\System32\xpdx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин по правилам (приложение 3)
и сделайте новые логи.
[quote=MaXim;116587]Сторожил, а так и не научился комп защищать. :( Из рекомендаций книги Николая Головко наверное ни чего не соблюдаешь.[/quote]
да не мой это комп.... это рабочии компы а книгу я уже несколько раз читал свой комп у мну в относительной безопасности..
а на работе унас просто эпидемия сис админ неспровляеться и наменя половину валит что могу сам лечу(в силу своих юзерских возможностей:))....
уточнение к предыдущиму посту это даже не мой рабочий комп а сатрудници...
скрипт выполнил карантин выслало логи прилогаю
файл загружен как
Файл сохранён как070618_163334_virus.fotorama_46767b9e92aa2.zip
Размер файла143995
MD563f9174dc2ebfb40687700f4c0a36181
кстате в логах фигурирует вот этот файлик [COLOR=#800080]C:\WINDOWS\System32\t0.dll[/COLOR] что то меня терзают смутные сомненья на счет его или это системный?
и еще насчет этого файлика не многоли у него записей?
[code] O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll [/code]
и авз про него много пишет
[code] Layered IP C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered TCP/IP over [MSAFD Tcpip [TCP/IP]] C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered UDP/IP over [MSAFD Tcpip [UDP/IP]] C:\WINDOWS\System32\t0.dll
Скрипт: Kарантин, Удалить, Удалить через BC ()
Layered RAW/IP over [MSAFD Tcpip [RAW/IP]]
[/code]
bot.dll - [B]Trojan-Proxy.Win32.Xorpix.ar[/B]
xpdx.sys - [B]Trojan-Clicker.Win32.Costrat.e[/B]
(эти уже удалены)
t0.dll - что-то новенькое, пока ждем, и скачиваем утилиту WinSockFix:
[url]http://www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url]
И еще ваш iexplore.exe пропатчен трояном, нужно восстановить его из дистрибутива, либо воспользоваться утилитой HaxFix:
[url]http://users.telenet.be/marcvn/tools/haxfix.exe[/url]
Собственно вот скрипт карантина:
[code]
begin
QuarantineFile('nicm.sys','');
QuarantineFile('C:\WINDOWS\System32\NWSHLXNT.dll','');
QuarantineFile('C:\WINDOWS\System32\t0.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe','');
end.
[/code]
И еще один момент:
поищите через AVZ файл [B]C:\WINDOWS\perfmon.exe[/B]
Если найдется - пришлите по правилам, а если нет,
откройте окошко командной строки, наберите:
[B]sc delete "Performance Monitor"[/B]
и нажмите [I]Enter.[/I]
[quote=Bratez;116614]И еще один момент:
поищите через AVZ файл [B]C:\WINDOWS\perfmon.exe[/B]
Если найдется - пришлите по правилам, а если нет,
откройте окошко командной строки, наберите:
[B]sc delete "Performance Monitor"[/B]
и нажмите [I]Enter.[/I][/quote]
не нашол его удалил как вы сказали.....
карантин закачал
Файл сохранён как070618_170929_virus.fotorama_4676840941a61.zip
Размер файла250926
MD556d458944bc3a64b25f655378234dc3a
вот этот в карантин не попал 'nicm.sys'
авз написала следущее
[code]
Ошибка карантина файла "nicm.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "nicm.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
[/code]
утилиты скачал
По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.
[quote=Bratez;116627]По поводу t0.dll надо все-таки дождаться ответа от ЛК, не будем спешить, хотя его зловредность практически очевидна. А IE можно сейчас восстановить. Если с дистрибутивом возиться неохота, инсталлируйте HaxFix, запускайте и выбирайте автоматический фикс.[/quote]
понел щас зделаю
еще вопрос а 2 утилита на что?
WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться ;)
[quote=Bratez;116629]WinSocksFix может пригодиться потом, после удаления t0.dll, чтобы без интернета не остаться ;)[/quote]
понел ;)
1 утилита помогла ща уже с больного компа пишу
Поздравляю, вы внесли свой скромный вклад в поимку нового зловреда,
получившего имя [B]Trojan.Win32.Agent.aph[/B] ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelSPIByFileName('t0.dll',true);
DeleteFile('C:\WINDOWS\System32\t0.dll');
AutoFixSPI;
BC_DeleteFile('C:\WINDOWS\System32\t0.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если после перезагрузки пропадет связь с интернетом, используйте WinSocksFix.
Пофиксите в HijackThis:
[code]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O20 - Winlogon Notify: botreg - C:\WINDOWS\
[/code]
Сделайте новые логи.
а насчет этих строк что делать?
[code]O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\t0.dll[/code]
Если скрипт из #16 запускал, то должны исчезнуть.
В противном случае поможет winsockfix.
[quote=PavelA;116773]Если скрипт из #16 запускал, то должны исчезнуть.
В противном случае поможет winsockfix.[/quote]
да все изчезло, winsockfix запучкал без него почемуто рабочий стол глючил...
логи прилогаю вроде все чисто но жудко тормозит
Профиксить в HijackThis:
O20 - Winlogon Notify: botreg - C:\WINDOWS\
Более ничего вредного не наблюдаю. Единственное, что волнует, отсутствие следов антивируса и файерволла.
Да, еще SP1. Пора бы SP2 поставить с заплатками, вышедшими после него.