расадник зверей

Printable View

Показывать 40 сообщений этой темы на одной странице

04.05.2007, 14:42
fotorama

расадник зверей

Доброго времени суток всем! мне сейчас принесли жесткий диск загаженый сворой зловредов..... Этот хард я пришпандорил к своему рабочему компу НОД оборался при сканировании щас я вам выслал архивчик с карантином.... логи из АВЗ в скором времени тоже прилеплю а из [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] помоемому лог слать смысла нет ведь он будет зделан из моей винды а не из инфецированой.... а пока можете сказать что там на ловилось и на мой взгляд половина не попала
Файл сохранён как070504_144032_virus.fotorama_463b0da08a9d3.zipРазмер файла159101MD5d81264f6d5c772558bc5fc0b54ce7fff
04.05.2007, 15:02
Bratez

[QUOTE]я вам выслал архивчик с карантином....[/QUOTE]
Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.
04.05.2007, 15:06
fotorama

[quote=Bratez;107727]Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.[/quote]

нод не все их знает(
он выдал что 7 неопознаных(
кстате ктонибудь в курсе где находиться нодовский карантин????
он гад их в свой карантин увалок(
p/s
логи будут через 20 мин
04.05.2007, 15:15
Bratez

[QUOTE]нод не все их знает(
он выдал что 7 неопознаных([/QUOTE]
Вот я и говорю - [B]пусть удалит то, что знает[/B]. А остальное по логам будем карантинить и разбираться.
04.05.2007, 15:41
Rene-gad

[QUOTE=fotorama;107728]
кстате ктонибудь в курсе где находиться нодовский карантин????
[/QUOTE]
В папке General >Settings>Advanced >Quarantine ;)
04.05.2007, 15:43
fotorama

[quote=Rene-gad;107736]В папке General >Settings>Advanced >Quarantine [/quote]
благодарю щас гляну если вам нужно могу преслать

а вот и логи из моей системы..... (ребят там вроде чето проскакивает из документов пользователя лисичкиной на это не оброщайте внимание)
04.05.2007, 15:53
Bratez

В вашей системе (на диске C) ничего подозрительного, а вот система на диске D очевидно заражена серьезно.
04.05.2007, 15:53
PavelA

Вот это добро поискать, в карантин и прислать.
Больше всего первый не понравился мне.

[CODE]D:\WINDOWS\system32\drivers\ip6fw.sys
D:\WINDOWS\system32\msdrives\msdrvctrl.exe
D:\WINDOWS\Temp\rspryolt.exe
D:\WINDOWS\msdrvctrl.exe
D:\t12eqweqw3.exe
[/CODE]

Кстати, думаю, что свежий Cure-It справился бы с этим и без нашей помощи.
04.05.2007, 15:56
Макcим

[B]PavelA[/B], Вы прямо стихами пишите ;)
04.05.2007, 16:12
Rene-gad

[QUOTE=PavelA;107746]Больше всего первый не понравился мне.[/QUOTE]
Да что ж тут может понравиться: [url]http://www.sophos.com/security/analyses/trojpushua.html[/url], Пушкин Вы наш :D
04.05.2007, 16:19
Numb

файл %SystemRoot%\system32\drivers\ip6fw.sys - имеет право на существование, как IPv6 Windows Firewall Driver , но AVZ на него ругаться не должен. Кстати, версия AVZ - старая, актуальная версия - 4.25
07.05.2007, 14:17
fotorama

[quote=Numb;107750]Кстати, версия AVZ - старая, актуальная версия - 4.25[/quote]
сори чегото не глянул какая у него версия(
вот новые логи если надо то щас новой версией пройдусь и заного залью...
впринципе я комп кучей антивирей чистил но у меня еще остались подозрения о существование зверюшек (логи с его радной системы)
07.05.2007, 14:27
Bratez

[QUOTE]вот новые логи если надо то щас новой версией пройдусь и заного залью...[/QUOTE]
Сделайте пожалуйста, анализировать будет намного легче.

Сразу скажу - подозрения ваши не напрасны!
07.05.2007, 14:29
fotorama

[quote=Bratez;108312]Сделайте пожалуйста, анализировать будет намного легче.

Сразу скажу - подозрения ваши не напрасны![/quote]
все понел щас базу обнавлю и новые логи наделаю
07.05.2007, 16:34
fotorama

Новые логи
07.05.2007, 16:45
Bratez

До чего же их много! Давайте для начала вот так:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\abcdefgh.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp','');
QuarantineFile('windpy32.dll','');
QuarantineFile('v7.exe','');
QuarantineFile('c:\windows\system32\ldcore.dll','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
QuarantineFile('C:\windows\webal.exe','');
QuarantineFile('C:\windows\bfxtray.exe','');
QuarantineFile('C:\WINDOWS\System32\gqlpw32.dll','');
QuarantineFile('C:\WINDOWS\System32\dfme.dll','');
QuarantineFile('C:\WINDOWS\System32\Gojgbplm.dll','');
QuarantineFile('C:\Program Files\Common Files\winctl.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe','');
QuarantineFile('ndisrd.sys','');
QuarantineFile('C:\WINDOWS\system32\windpy32.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\smpi1\bin.exe','');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL');
DeleteFile('C:\WINDOWS\msdrvctrl.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('C:\Program Files\NewDotNet\newdotnet6_38.dll');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки - карантин и новые логи в студию :)

Папки C:\DriverLoad и C:\Program Files\NewDotNet после скрипта удалите полностью.
07.05.2007, 17:05
fotorama

скрипт выполнил правдо похоже не все попало вот логи и карантин
Файл сохранён как/td> 070507_170337_virus.fotorama_463f23a9dfd93.zip
Размер файла1071235
MD57a3125c5dc18745836e9c53d561e56a3
07.05.2007, 17:25
fotorama

'C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\ эту дерикторию очистил ручками.... хм странно вроде все TEMPы чистил а тут они остались .....
07.05.2007, 17:45
Bratez

[B]C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt[/B]

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\windpy32.dll');
DelSPIbyFilename('abcdefgh.dll',true);
AutoFixSPI;
ClearHostsFile;
BC_DeleteFile('C:\WINDOWS\system32\windpy32.dll');
BC_DeleteFile('C:\WINDOWS\System32\lzx32.sys');
BC_DeleteFile('C:\WINDOWS\System32\abcdefgh.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если нарушится связь с интернетом, используйте AVZ - восстановлние системы - п.14 - перезагрузка, если не помогло - п.15 - перезагрузка.

Карантин ДрВеба удалите
C:\Documents and Settings\Руслан\DoctorWeb\Quarantine

Это не все, пока смотрю дальше.
07.05.2007, 17:50
fotorama

[quote=Bratez;108363][B]C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt[/B]

Выполните такой скрипт:

Это не все, пока смотрю дальше.[/quote]
благодарю за скрипт все выполнил вот только проверить пропал ли инет иль нет пока не смогу..... просто к рабочей сетке я побаеваюсь заразную машину подрубать..... но востонавление всеравно для профилактики проделал:)

Показывать 40 сообщений этой темы на одной странице