-
Вложений: 1
Win32:Agent-MET
Всем привет.
Вчера Аваст стал ругаться при подключении к инету на этот руткит. При попытке любого действия - перезагрузка. Находился вирус всегда в C:\Windows\system32\drivers\....sys. Наименования разные у системного файла были каждый раз.
Процедуры полного сканирования в безопасном режиме ничего не находят теперь. Пробовал записать лог через AVZ - сброс.
Вот, что записал хайджек.
-
2.[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [PL2210Z] C:\WINDOWS\P221ZI98.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [WinPop] C:\Program Files\WinPop\winpop.exe
O4 - HKUS\S-1-5-21-2000478354-813497703-839522115-500\..\Run: [WinPop] C:\Program Files\WinPop\winpop.exe (User '?')
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll (file missing)
O20 - Winlogon Notify: Nntpoix - C:\WINDOWS\SYSTEM32\nntpoix.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
[/CODE]
Попробуйте сделать [URL="http://virusinfo.info/showthread.php?t=10387"]этот лог[/URL] из безопастного режима
-
Вложений: 2
Все, что указали пофиксил. Правда пара процессов потом все равно действует.
Вот протокол АВЗ из безопасного режима и лог хайджека в обычном режиме после этого.
-
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Yiau36.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\nntpoix.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\Yiau36.sys');
BC_QrFile('C:\WINDOWS\system32\aspimgr.exe');
BC_DeleteFile('C:\WINDOWS\system32\aspimgr.exe');
BC_QrSvc('aspimgr');
BC_DeleteSvc('aspimgr');
BC_Activate;
RebootWindows(true);
end.[/code]
Карантин пришлите
-
выполните скрипт...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Yiau36', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\aspimgr.exe','');
QuarantineFile('C:\fwdrv.sys','');
QuarantineFile('asc3550a.sys','');
QuarantineFile('asc355O.sys','');
QuarantineFile('Yiau36.sys','');
DeleteFile('Yiau36.sys');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\vsb.sys','');
DeleteFile('C:\fwdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
BC_ImportAll;
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('asc3550a');
BC_DeleteSvc('asc355O');
BC_DeleteSvc('Yiau36');
BC_DeleteSvc('protect');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
повторите последний лог ...
-
2 rubin
Выполнил. В "карантине" пусто.
2 V_Bond
Выполнил первый скрипт.
Второй не запускается, ругается на : "Ошибка скрипта: Not enough actual parameters позиция 11:16"
-
поправил ... выполняйте ...
-
Может я что-то не понял про карантин, но у меня после всех действий там пусто - ни папок ни файлов.
Вы просили повторить последний лог - это лог хайджека или АВЗ в безопасном режиме?
-
-
Вложений: 1
Вот АВЗ в безопасном режиме после скриптов. Вроде опять там целая компания((
-
в safe mode выполните скрипт ...
[code]
begin
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('asc3550a');
BC_DeleteSvc('asc355O');
BC_DeleteSvc('Yiau36');
BC_DeleteSvc('protect');
BC_Activate;
RebootWindows(true);
end.
[/code]
и повторите последний лог ...
-
Вложений: 1
Вот лог из безопасного режима
-
часть убили ...
выполните в safe mode
[code]
begin
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Yiau36.sys');
BC_DeleteSvc('fwdrv');
BC_DeleteSvc('Yiau36');
BC_Activate;
RebootWindows(true);
end.
[/code]
и снова повторите последний лог ...
-
Вложений: 1
Выполнил, "краснота" исчезла в АВЗ.
-
все убили ...
остался один хвост.... подчистим ...
выполните в safe mode
[code]
begin
BC_DeleteFile('C:\fwdrv.sys');
BC_DeleteSvc('fwdrv.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
и снова повторите последний лог ... последний раз ;) (надеюсь)
-
Вложений: 1
-
больше не вижу ничего зловредного ...
надеюсь проблем больше нет ?
-
Огромное спасибо за потраченное время!!! ;)
Если можно - совет бы еще получить. Чем лучше защищаться от дури всякой? Какой-то набор программ (получается один антивирь не справляется) или систематический комплекс мер? Вот хорошо у вас тут все расписано по пунктам, вот бы так же иметь правила защиты.
-
По возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Page generated in 0.00778 seconds with 10 queries