что-то подцепил

Printable View

10.09.2007, 01:08
Vladneg

Вложений: 3

что-то подцепил

Уважаемые эксперты, помогите "вылечиться".
Ситуация: WindowsXP Prof SP2 (в защищенном режиме не стартует, нет ни одной точки сохранения), Касперский 5 (kav.exe пропал, даже если создать файл с именем kav.exe и попытаться запустить, то он удаляется). Internet Explorer 6 (сразу виснет).
Вторая операционка Windows 2003, уже давно не запускал.
10.09.2007, 02:56
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
QuarantineFile('c:\documents and settings\nvm\application data\m\flec006.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll','');
QuarantineFile('C:\WINDOWS\copyfstq.exe','');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
11.09.2007, 00:05
Vladneg

Выполнил. Посылаю "карантин". (Переписку веду с другого компьютера.)
[B][COLOR="Red"]Выкладывать карантин запрещено. Читайте правила.[/COLOR][/B]
Выложил его за вас.
Файл сохранён как 070910_133146_virus_46e58d921f31b.zip
Размер файла 32353
MD5 ce30183edc14eb7eab9353b4ff10e996

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 9 минут[/I][/B][/color][/size]

А что было не так? Я создал zip-файл в AVZ, как указано в правилах. И вложил в "Управление вложениями".
11.09.2007, 00:07
drongo

[QUOTE='Vladneg;133218']И вложил в "Управление вложениями".[/QUOTE]вот это не то ;)
Правила нужно внимательней прочитать .
11.09.2007, 00:26
Alex_Goodwin

[QUOTE]И вложил в "Управление вложениями".[/QUOTE] хотя сказано, что надо отправить!
11.09.2007, 00:27
Vladneg

Семён Семёныч!..
11.09.2007, 00:30
drongo

бабе цветы, детям мороженное ;)
11.09.2007, 00:36
Alex_Goodwin

Проехали, ждем ответа вирлаба. Карантин я за вас уже выложил, так что не закачивайте теперь :)
11.09.2007, 22:57
Vladneg

может я могу предоставить еще какую-то информацию?
12.09.2007, 00:52
V_Bond

из попавших в карантин ...
C:\WINDOWS\SYSTEM32\ftpsapi232.dll Trojan.Win32.Agent.bjs (свежий совсем)
C:\WINDOWS\copyfstq.exe -чистый
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
flec006.exe -попробуйте поискать через AVZ - поиск файлов на диске ... если найдется пришлите по правилам...
повторите логи...
12.09.2007, 02:58
Vladneg

Вложений: 3

Сделал.
12.09.2007, 03:21
Bratez

В AVZ включите [B]AVZPM[/B], перезагрузитесь и сделайте логи заново,
+ [URL="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/URL].
12.09.2007, 23:00
Vladneg

Вложений: 4

Сделано.
12.09.2007, 23:29
V_Bond

пофиксите...
[code]
O20 - Winlogon Notify: ftpsapi232 - ftpsapi232.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\wintems.exe','');
QuarantineFile('c:\windows\system32\drivers\hidr.exe','');
DeleteFile('C:\WINDOWS\SYSTEM32\ftpsapi232.dll');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('c:\windows\system32\wintems.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
13.09.2007, 10:23
PavelA

[B]Vladneg[/B], готовьте диск с дистрибутивом. Может понадобиться,
не для переустановки ХР.
13.09.2007, 22:49
Vladneg

Все сделал. Карантин отправил.
14.09.2007, 10:06
PavelA

C:\WINDOWS\system32\drivers\srosa.sys - Email-Worm.Win32.Bagle.jo(по Касперскому)
Выполнить скрипт:
[CODE]
begin
BC_DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать комплект логов +доп.лог.
14.09.2007, 22:56
Vladneg

Вложений: 4

Сделал.
14.09.2007, 23:29
V_Bond

[QUOTE=PavelA;134022][B]Vladneg[/B], готовьте диск с дистрибутивом. Может понадобиться,
не для переустановки ХР.[/QUOTE]

выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\documents and settings\nvm\application data\m\flec006.exe');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\NVM\Application Data\m\flec006.exe');
DeleteFile('\Device\HarddiskVolume1\WINDOWS\system32\drivers\hidr.exe');
DeleteFile('c:\windows\system32\drivers\hidr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_DeleteSvc('srosa');
DeleteFile('C:\WINDOWS\svchost');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
15.09.2007, 20:16
Vladneg

Сделал. После окончания скрипта комп повис. Голый экран с обоями и никакой реакции. Минут через 10 сам перегрузился. Я для проверки создал текстовый файл "kav.exe", попытался запустить, файл мгновенно исчез. В защищенном режиме не загружается.
?
15.09.2007, 20:26
V_Bond

а в обычном ? можете сделать логи ?
15.09.2007, 20:36
Vladneg

В обычном загружается. Обычные логи или как?
15.09.2007, 20:49
V_Bond

да как в первом сообщении + дополнительный лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
15.09.2007, 21:21
Vladneg

Вложений: 3

Вот обычные.
15.09.2007, 21:23
Vladneg

дополнительные в защищенном режиме не могу. сделать в обычном?
15.09.2007, 21:48
Vladneg

Вложений: 1

Сделал в обычном.
15.09.2007, 23:49
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\hidr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys'
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
вы проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]curet[/URL] проводили ?... если нет ... сделайте полную проверку ...
16.09.2007, 00:47
Vladneg

Сейчас идет провека свежим CureIt. Будет еще несколько часов.
Нашел несколько Win32.HLLH.Beagle
18.09.2007, 04:03
Muzzle

Прикрепите лог [B]Drweb[/B],найти можно тут : пуск--выполнить--cmd %userprofile%\DoctorWeb
и карантин прислать не забудьте.
20.09.2007, 23:29
Vladneg

почистил тремя антимирусами. восстановил ветку безопасной загрузки. вроде чисто. нужно еще реестр почистить. чем лучше?

забавно, что после того как CureIt нашел несколько Win32.Bagle.dw, Aktive Virus Shield нашел еще больше ста таких как:
[COLOR="Red"]16.09.2007 18:50:21 File f:\documents and settings\nvm\application data\m\shared\usps address informational tool 1.27.zip\USPS Address Informational Tool 1.27.exe: detected Trojan program Trojan-Downloader.Win32.Bagle.dw[/COLOR]
20.09.2007, 23:31
V_Bond

лучше логи прислать ,как вас и просили ...
21.09.2007, 09:59
PavelA

Bagle он такой. Сколько директорий на диске есть, столько он и екзешников сделает.
22.02.2009, 02:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\nvm\\application data\\m\\flec006.exe - [B]Email-Worm.Win32.Bagle.jo[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\drivers\\srosa.sys - [B]Trojan-Downloader.Win32.Bagle.vx[/B] (DrWEB: Win32.HLLM.Beagle)[*] c:\\windows\\system32\\ftpsapi232.dll - [B]Trojan.Win32.Agent.bjs[/B] (DrWEB: Trojan.Litter)[/LIST][/LIST]

Текущее время: 17:31. Часовой пояс GMT +3.

Page generated in 0.00233 seconds with 10 queries