При загрузке компа вылезает подключение к инету?

Printable View

06.09.2007, 16:43
Владимир_Ильич

Вложений: 1

При загрузке компа вылезает подключение к инету?

В sistem32 появились какие-то файлы начинающиеся с kb*.exe Что это? Посмотрите пожалуйста лог . Спасибо.
06.09.2007, 16:53
Muzzle

Выполните логи по правилам [url]http://virusinfo.info/showthread.php?t=1235[/url]
06.09.2007, 17:43
SuperBrat

Пофиксите в HijackThis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
[/CODE]
07.09.2007, 14:16
Владимир_Ильич

Вложений: 3

Товариши! Посмтрите логи плз - все сделал по понятиям. Dr web-ом проверял кое-что удалил. Но копм в инете ужасно тормозит.

[[color=#CC0000]moderated! Карантин (virusinfo_cure.zip) нужно присылать в соответствии с приложением 3 правил.[/color]]
07.09.2007, 14:43
PavelA

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('http://top.holm.ru/cgi-bin/link.cgi?l=book','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\erktjrt.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys','');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteFile('system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_DeleteFile('http://top.holm.ru/cgi-bin/link.cgi?l=book');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.
07.09.2007, 15:17
Владимир_Ильич

BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');

BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');

Вот выше перечисленное они удялятся? runtime - это что за вещь. МНе кажется оно нужно.
07.09.2007, 15:19
Numb

Оно не нужно. Это - спамбот. Или, вернее, руткиты, его маскирующие.
07.09.2007, 15:19
drongo

[B]Владимир_Ильич[/B], как сказала партия , так и выполнять ;)лазутчики это .
07.09.2007, 15:43
Владимир_Ильич

Запуск скрипта привел к самопроизвольному рестарту системы!
[quote=PavelA;132487]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('http://top.holm.ru/cgi-bin/link.cgi?l=book','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\erktjrt.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys','');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteFile('system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_DeleteFile('http://top.holm.ru/cgi-bin/link.cgi?l=book');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]

После перезагрузки.
Прислать карантин согласно приложения 3 правил .
Сделать новые логи.[/quote]

Теперь запуск стандартных скриптов невозможен по этой же причине - происходит рестарт

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Причем ntos.exe как сидел в систем32 так и сидит:?
07.09.2007, 15:45
PavelA

'system32\drivers\ip6fw.sys' - я думаю из-за него.
Сделай логи в Safe Mode.
07.09.2007, 16:51
Владимир_Ильич

Вложений: 4

[quote=PavelA;132512]'system32\drivers\ip6fw.sys' - я думаю из-за него.
Сделай логи в Safe Mode.[/quote]
В сейф моде 8 пункт праил не получается - avz вылетает, а если запускать 8 пункт в обычном режиме вылезают ошибки - avz виснет(см. рисунки). Лог с 9 пунка правил. и 13 есть. Ужас че творится???
07.09.2007, 16:56
Bratez

Выполните такой скрипт:
[code]begin
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteFile('system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl60bd.cab
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing)
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing)
[/code]
Перезагрузитесь и сделайте новые логи.
07.09.2007, 17:12
PavelA

C:\hi_\infec\runtime2.sys - что за ерунда? Сами сохраняли или какая-то другая программа. Имя файла взял со скриншота ;)
07.09.2007, 17:46
Владимир_Ильич

Вложений: 3

Все по порядку.
1. Runtime2 - кинул сам в директорию hi_ ...
1а. имя файла "ошибка.gif" ? - сам
2. Сделал как говорил в последний раз Bratez - получилось. gривожу логи. Может есть хвосты?
3. Беспокоит ntos.exe - че за хрень не понятно?
4. Подключение к инету после загрузки уже исчезло.
07.09.2007, 17:57
Bratez

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте лог, как написано здесь:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
07.09.2007, 17:59
PavelA

[QUOTE='Владимир_Ильич;132555']. Runtime2 - кинул сам в директорию hi_ ...[/QUOTE] Незаряженное ружье и то иногда стреляет. Файл этот в карантине AVZ должен лежать.

[B]"Восстановление системы"[/B] почему не отключено? Ведь восстановите и заново лечиться надо будет.
10.09.2007, 08:34
Владимир_Ильич

[quote=Bratez;132561]Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте лог, как написано здесь:
[URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
Выполнение стандартных скриптов привел снова к ошибке avz (см. рис выше) ???
10.09.2007, 08:34
Владимир_Ильич

Вложений: 1

[quote=Bratez;132561]Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте лог, как написано здесь:
[URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
Выполнение стандартных скриптов привел снова к ошибке avz (см. рис выше) ???
Првожу лог Bratez-у
10.09.2007, 09:32
Bratez

Выполните такой скрипт:
[code]
begin
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis (если останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
и выполните еще один скрипт:
[code]
begin
SearchRootkit(false, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
RebootWindows(true);
end.[/code]
Затем снова сделайте "дополнительный лог" AVZ.
10.09.2007, 11:45
Владимир_Ильич

Вложений: 1

[quote=Bratez;133004]Выполните такой скрипт:
[code]
begin
BC_QrSvc('kprof');
BC_QrSvc('poof');
BC_QrSvc('smtpdrv');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\kprof');
BC_DeleteFile('C:\WINDOWS\system32\poof');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis (если останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
и выполните еще один скрипт:
[code]
begin
SearchRootkit(false, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
RebootWindows(true);
end.[/code]
Затем снова сделайте "дополнительный лог" AVZ.[/quote]
Сделал. Что дальше?
10.09.2007, 12:02
PavelA

Посл. карантин загрузили?

В принципе уже можно пробовать снова делать станд. скрипты AVZ/

З.Ы. Цитировать полностью скрипты не надо. Экономьте Ваш и мой траффик.
10.09.2007, 13:41
Владимир_Ильич

Вложений: 3

Привожу снова логи. Пходу ntos.exe не удалился?
10.09.2007, 13:49
PavelA

Где же ты, карантин, где?

В норм. режиме пробовали загружаться?
10.09.2007, 14:00
Bratez

[B]ntos.exe[/B] похоже еще жив, зато удалось вырубить [B]Sal25.sys [/B]- тот еще подарок ;)

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите (что останется):
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
Очистите папку:
C:\avz1\avz4\avz4\Quarantine\

Поищите чере AVZ файл Sal25.sys и пришлите его по правилам.

[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]

И сделайте все три лога в нормальнои режиме.
10.09.2007, 16:31
Владимир_Ильич

[quote=PavelA;133060]Где же ты, карантин, где?

В норм. режиме пробовали загружаться?[/quote]
В нормальном грузится - все Ок. Какой карантин? Выслать virusinfo_cure или то что в директории Quarantine?
10.09.2007, 16:44
Bratez

[QUOTE]Какой карантин? [/QUOTE]
Приложение 3 правил. Отметить все файлы.

После отправки карантина см. сообщение #24.
Ждем.
13.09.2007, 14:58
Владимир_Ильич

Извиняюсь за долгое отсутствие - бешенный график. Высылаю карантин
Буду делать по сообщению #24
14.09.2007, 07:41
Владимир_Ильич

Вложений: 3

Ура! Ntos - убит! Итак, респект и уважуха: Bratez, PaveA. Хотя может и рано радоваться привожу логи.
14.09.2007, 10:39
PavelA

Что из этого не нужно?
[QUOTE]>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Alerter (Оповещатель)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/QUOTE]
14.09.2007, 10:40
Bratez

Да теперь все хорошо. Только очистите от греха папку
[B]C:\avz1\avz4\avz4\Quarantine[/B]
(там валяется экземпляр Rootkit.Win32.Agent.ey).
22.02.2009, 02:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\avz1\\avz4\\avz4\\quarantine\\runtime2.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.321)[*] c:\\windows\\system32\\drivers\\sal25.sys - [B]Rootkit.Win32.Agent.hy[/B] (DrWEB: Trojan.NtRootKit.367)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2003)[/LIST][/LIST]