Куча вирусов

Printable View

Показывать 40 сообщений этой темы на одной странице

20.02.2008, 21:57
orbison

оТ ЭРУДИРОВАННЫХ ЧАЙНИКОВ

Два трояна ntos.exe murka.dat i зловред в beep.sys лишили прав админа компа и невозможно отключить system restore.А без этого можно логи делать? Без выполнении условии Правил? Что делать ?Заранее благодарю.
20.02.2008, 22:00
wise-wistful

Без логов нельзя. А в чём проблема с логами?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Если только с отключением системы, то давайте пока так. Потом постараемся отключить и сделаем проверку уже с отключеным восстановлением.
20.02.2008, 22:00
drongo

Так и быть, мы вас простим ;) только обязательно выполнить 2 пункт правил - прoверим в действии эффективность cureit ;)
20.02.2008, 23:58
orbison

Куча вирусов

Админа права заблокированы от панели управления до выключения System restore. Заранее преогромно благоадрю:)

Syscheck_zip не нашел.:( Исполнил 3 и 4 станд. скрипт
21.02.2008, 00:14
drongo

а второй пункт правил делали ?

Выполнить скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\PavTPK.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\medichi2.exe','');
QuarantineFile('c:\windows\medichi.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

[/code]
Прислать карантин согласно пункту 3 правил по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=18393[/url]
21.02.2008, 00:16
orbison

Сureit нашел три зловреда.Выслал в новой теме" Куча вирусов" логи.Могли бы что то посоветовать.? THX
[color=red]не надо плодить темы, еcли та же система .[/color]
21.02.2008, 00:24
drongo

"Имена , пароли, явки ?" По подробней ;)
21.02.2008, 00:44
orbison

Выслал карантин чего то невижу где оно.Сгкуше находит murka.dat ntos .exe beep.sys . C Скрипт выполнил но на фронте без перемен .Благодарю
21.02.2008, 01:04
wise-wistful

ВЫполните в авз
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('msupdate', 4);
StopService('msupdate');
SetServiceStart('wincom32', 4);
StopService('wincom32');
TerminateProcessByName('c:\windows\medichi.exe');
TerminateProcessByName('c:\windows\medichi2.exe');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('pskmssvc.exe','');
QuarantineFile('PavPrSrv.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\wincom32.ini','');
QuarantineFile('C:\WINDOWS\system32\alsys.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.ini');
DeleteFile('C:\WINDOWS\system32\alsys.exe');
BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('c:\windows\medichi.exe');
BC_DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
BC_DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
BC_DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteService('msupdate');
DeleteService('windev-7a11-1dbf');
DeleteService('wincom32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Профиксите
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')[/code]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Скрипт от [b]drongo[/b] - это сбор анализов. Вот результаты лабораторных исследований: ntos.exe - [b]Packed.Win32.PolyCrypt.d[/b], medichi.exe - [b]not-virus:Hoax.Win32.Renos.aom[/b], medichi2.exe - [b]not-a-virus:AdWare.Win32.Agent.aag[/b], Beep.SYS - [b]Trojan.Win32.Obfuscated.mp[/b], murka.dat - [b]Backdoor.Win32.Small.cbo[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

wincom32.sys - это [b]Email-Worm.Win32.Zhelatin.ab[/b]. Никаких писем странных последнее время не получали?
21.02.2008, 08:12
orbison

Преогромнейшее спасибо. Сделал скрипты и профиксировал но насколько вижу без перемен. Тока фиксирование сняла процесс ntos.exe. Глянул- эти зловредные файлы на местефайлы на месте :-(. TNX
21.02.2008, 08:13
Bratez

Сделайте новые логи, посмотрим, что осталось.
21.02.2008, 08:29
orbison

Единственно что уже ntos.exe не грузит проц.Отключить system restore не можем.Будем продолжать лечить.THX
21.02.2008, 23:01
orbison

После выполнения скрипта ничего не изменилось:(.ntos.exe опять грузит проц что даже выполнения логов зависло,пришлось завершить процесс чтоб закончить делать логи.Главное что невозможно отключить System restore.У админа компа вообще все права заблокированы даже taskmgr.У огр. лучше есть панель управления хотя бы..:? Заранее благодарен.
Вот повторные логи

Толко не могу понять где _syscheck.zip:O
21.02.2008, 23:21
akok

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
O20 - AppInit_DLLs: murka.dat[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

вы отключаете антивирус перед выполнением скрипта?
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('windev-7a11-1dbf', 4);
SetServiceStart('msupdate', 4);
SetServiceStart('wincom32', 4);
TerminateProcessByName('c:\windows\system32\ntos.exe');
StopService('wincom32');
StopService('windev-7a11-1dbf');
StopService('msupdate');
QuarantineFile('ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('ntsvc32.dll');
DeleteService('windev-7a11-1dbf');
DeleteService('wincom32');
DeleteService('msupdate');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
BC_DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
BC_DeleteFile('C:\WINDOWS\murka.dat');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18393[/url]

Повторите логи

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

System Recovery: enabled-востановление системы необходимо отключать.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Попробуйте после этого скрипта отлючить:)
[code]begin
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
22.02.2008, 00:42
orbison

Спасибоо Вам.Выполнил скрипт выслал карантин сделал логи
22.02.2008, 00:53
V_Bond

отключите восстановление системы !!!
обновите базы авз !!!
пофиксите ...
[code]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: murka.dat
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('Birk66.sys','');
SetServiceStart('Birk66', 4);
StopService('Birk66');
SetServiceStart('msupdate', 4);
StopService('msupdate');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\medichi2.exe','');
QuarantineFile('c:\windows\medichi.exe','');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Birk66.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('ntsvc32.dll');
BC_DeleteSvc('Birk66');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('windev-7a11-1dbf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
22.02.2008, 08:46
orbison

Cпасибо большое.Не обновляется база avz -error loading [21,00002EFD] отключить восстановление системы невозможно.Права админа компа зловредом ограничены.
THX

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Единственно что админ компа может сделать -это антивирус отключить. Кроме этого при запуске=точнее в середине запуска Hijackthis появляется сообщения что система denied write access to host file. И если это нужно то надо самому run notepad C:\ Windows\System 32\drivers\etc\hosts
22.02.2008, 08:58
V_Bond

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
полсле должно получится отключить восстановление системы ...
22.02.2008, 21:46
orbison

СПАИБО БОНД вы настоящий Бонд!!!УДАЛОСЬ ПОЛУЧИЛОСЬ !!ОТКЛЮЧИЛИ ВОССТАНОВЛЕНИЕ СИСТЕМЫ ! предыдущий скрипт делать? thx
22.02.2008, 21:53
V_Bond

конечно ... и карантин прислать и логи повторить ...

Показывать 40 сообщений этой темы на одной странице