HackTool.RootKit

Printable View

Показывать 40 сообщений этой темы на одной странице

26.07.2007, 15:33
ghostil

HackTool.RootKit

У меня беда! Компьютер отказывается работать в "Обычном режиме". Грузится только в "Безопасном режиме". При подключении компьютера к Интернет в "Обычном режиме" начинается рассылка писем. Помогите, пожалуйста, очень важно, чтобы компьютер был спасен!
26.07.2007, 15:54
Kuzz

1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\browsemu.dll','');
QuarantineFile('C:\WINDOWS\system32\mscorews.dll','');
QuarantineFile('zoox1.dll','');
QuarantineFile('w3sskbda.dll','');
QuarantineFile('flwzx.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\system32\jgdwadsn.dll','');
QuarantineFile('C:\WINDOWS\system32\brwconf.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\brwconf.exe');
DeleteFile('C:\WINDOWS\system32\jgdwadsn.dll');
DeleteFile('C:\WINDOWS\system32\winload.dll');
DeleteFile('brwmgr32.dll');
DeleteFile('brwstat.dll');
DeleteFile('confbrw.dll');
DeleteFile('e1.dll');
DeleteFile('flwzx.dll');
DeleteFile('w3sskbda.dll');
DeleteFile('zoox1.dll');
DeleteFile('C:\WINDOWS\system32\mscorews.dll');
ClearHostsFile;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

2. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] оставшиеся строчки:[CODE]O2 - BHO: Shell Search Engine and Control Microsoft - {0000DE80-AEC3-70C3-4176-CE509063E000} - C:\WINDOWS\system32\mscorews.dll (file missing)
O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll (file missing)
O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
O2 - BHO: H - {83E915D4-DDDB-4450-B957-7A3240E9CE66} - zoox1.dll (file missing)
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\winlogon.exe
O20 - AppInit_DLLs: e1.dll w3sskbda.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: flballoon - flwzx.dll (file missing)
O20 - Winlogon Notify: jgdwadsn - C:\WINDOWS\system32\jgdwadsn.dll (file missing)
O22 - SharedTaskScheduler: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)[/CODE]
26.07.2007, 16:16
ghostil

карантин закачан. Сейчас пофиксю строчки!:-) А логи новые выполнять, присылать?

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
пофиксил строчки!:-)

[size="1"][color="#666686"][B]Добавлено через 11 минут[/B][/color][/size]
Люди добрые!Не забывайте про меня!По-моему, до конца комп не чист, очень жду от вас помощи!:-)
26.07.2007, 16:26
Kuzz

Мы не забываем о Вас.

Загружаться в нормальном режиме можете?

Логи повторите, посмотрим..
26.07.2007, 16:28
ghostil

логи повторяю. Загрузиться пытался, но, когда начинаю выполнять какую-либо программу в "Обычном режиме", то опять "висит". Диспетчер задач по-прежнему не появляется.
26.07.2007, 16:38
ghostil

вот получившееся логи!Спасибо за помощь!Жду от Вас ответов и советов!:-)
26.07.2007, 16:46
Kuzz

Сделайте пожалуйста [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL] для безопасного режима.
26.07.2007, 16:51
ghostil

Вот дополнительный лог. Надеюсь, он даст более полное представление о случившемся!
26.07.2007, 17:36
Kuzz

Удалены:
Trojan.Win32.Pakes.bf - Kaspersky
Win32/Rootkit.Agent.NCR - NOD32v2

Выполните еще такой скрипт:[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\yatool.dll','');
QuarantineFile('C:\WINDOWS\system32\wbemz.exe srv','');
QuarantineFile('C:\WINDOWS\system32\icf.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine-11350.zip');
end.[/CODE]
Карантин прислать по правилам.

[size="1"][color="#666686"][B]Добавлено через 35 минут[/B][/color][/size]
[QUOTE='ghostil;124940']Диспетчер задач по-прежнему не появляется.[/QUOTE]
Выполните в AVZ "Файл"->"Восстановление системы"
Пункты 6,9,11.
26.07.2007, 18:40
ghostil

Прошу прощения, что так долго молчал - отвлекли по сторонним делам. Только сейчас добрался до компьютера. Скрипт выполнил, карантин закачал. Жду дальнейших указаний! :-)

[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
Восстановление системы тоже сделал. Сейчас попробую войти в Windows в "Обычном режиме".

[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
Попытался из Обычного режима загрузить компьютер, но всё равно, подвисает и Диспетчер задач не выводится, хоть убей. Вот такие дела. :-(
26.07.2007, 18:50
Kuzz

Вот что думает Вирустотал о присланом: [url]http://virusinfo.info/showpost.php?p=124970&postcount=234[/url]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\yatool.dll');
QuarantineFile('C:\WINDOWS\system32\wbemz.exe','');
DeleteFile('C:\WINDOWS\system32\icf.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]

Если файл wbemz.exe попадет в карантин - пришлите его.

У Вас 2 антивируса?
Видны файлы Симантека/Нортона и ДрВеб-а.
26.07.2007, 19:05
ghostil

Карантин закачал, поскольку указанный вами файлик там был обнаружен. Но вот по поводу антивирусов - странно. С симантеком всё верно. А вот по поводу Др. Веба - у меня только утилита стоит, та самая CureIt!

[size="1"][color="#666686"][B]Добавлено через 7 минут[/B][/color][/size]
Мда, что-то висит комьютер в Обычном режиме :-)
26.07.2007, 19:26
Kuzz

Повторите логи, пожалуйста.

Судя по:
[QUOTE]O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe[/QUOTE]
что-то от него осталось.

Об этой строчке можете что-то сказать?
[CODE]
O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
[/CODE]
Если она Вам знакома (Вы установили фоном рабочего стола рисунок из и-нэта), то в приведённом ниже перечне последнюю строку - пропустить.

Пофиксить:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://rus.slo.ru/
O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\system32\yatool.dll
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\icf.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\Program Files\DrWeb\SpiderNT.exe
O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
O24 - Desktop Component 0: (no name) - http://www.thailandopen.org/tournament_images/gallery-2006-09-27/img04_b.jpg
[/CODE]

[size="1"][color="#666686"][B]Добавлено через 52 секунды[/B][/color][/size]
ДНС сервер Вашей сети 192.168.1.1 ?
[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BB0CE3-92F2-440D-BFBF-3B1B1CD7C442}: NameServer = 192.168.1.1[/QUOTE]
27.07.2007, 09:56
ghostil

да, действительно, почему-то Dr.Web частично остался. Хм, странно. Строчки и пофиксил, сейчас делаю логи и выложу. Извините, что вчера исчез - работой завалили, до 10 вечера не мог добраться до компьютера, а потом домой поехал. Силы уже кончились. :-)
27.07.2007, 10:08
ghostil

Вот сделал логи. Посмотрите, пожалуйста. Буду вам очень признателен. :-)
27.07.2007, 10:10
ghostil

и вот дополнительный лог, на всякий пожарный :-)
27.07.2007, 11:34
ghostil

Да, DNS-server сети 192.168.1.1

[size="1"][color="#666686"][B]Добавлено через 54 минуты[/B][/color][/size]
Я прошу прощения, что спрашиваю, но Вы помните о моей проблеме?Или компьютер уже вылечен?:-)

[size="1"][color="#666686"][B]Добавлено через 27 минут[/B][/color][/size]
Люди!Вы меня видите?Почему вы так долго молчите?Я уже начинаю нервничать!;-)
27.07.2007, 12:04
Kuzz

Мы помним о Вашей проблме.
Просто мы тоже бываем завалены работой.

Логи сейчас посмотрю.

[size="1"][color="#666686"][B]Добавлено через 27 минут[/B][/color][/size]
Хм, кроме присутствия этой строки:
[QUOTE]
O23 - Service: MS Software Shadow Copy Provider SwPrvPlugPlay (SwPrvPlugPlay) - Unknown owner - C:\WINDOWS\system32\wbemz.exe (file missing)
[/QUOTE]
ничего подозрительного не вижу.
Есть предположение: при повреждении Симантека его процесс Rtvscan.exe начинает забирать все процессорное время.
27.07.2007, 12:34
ghostil

Да я понимаю, что и у вас работы куча. Поэтому и извиняюсь. Просто напомнил о себе. :-) А что можно сделать с этим процессом?Может мне его просто удалить и заново установить Симантек?

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
И ещё, мне вами указанную строчку пофиксить?
27.07.2007, 15:29
pig

Оба раза "да".

Показывать 40 сообщений этой темы на одной странице