Помогите с троянами
Printable View
Помогите с троянами
virusinfo_cure.zip - уберите из темы это карантин
выполните скрипт
[code]
begin
QuarantineFile('C:\WINDOWS\Temp\~00754.tmp','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил... повторите логи...
карантин загрузился?
да , но ничего не попало в карантин, повторите логи....
Вот логи ещё раз. Сейчас загружу новый карантин. Там есть 2 файла.
virusinfo_cure.zip - это карантин его прикреплять нельзя ... нужен virusinfo_syscure.zip ...
сорри.
у меня нет такого файла. И в прошлый раз не было. Наверно поэтому я не то прикрепил.
пофиксите ..
[code]
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\WINDOWS\Temp\~00754.tmp (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\Temp\~00754.tmp (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\DriverLoad\windrv0.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\DriverLoad\windrv0.exe
[/code]
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('C:\WINDOWS\Temp\~00754.tmp');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...
При выполнении скрипта вылезает ошибка Failed to set data for 'DisplayName'
попробуйте выполнить в Safe Mode ....
Только что выполнил первый из нужных стандартных скриптов. По-прежнему нет файла virusinfo_syscure.zip. В прцессе работы на шаге 1 появляетяс строка Ошибка в работе антируткита Access violation. Возможно из-за этого и не появляется файл. Щас перегружусь и выложу лог
Вот что получилось
Попробовать AVZPM поставить в AVZ и сделать ещё раз логи.
Уверен, что под админом делается ?
точно под админом. Проверил это ещё раз.
AVZPM поставил, перегрузился. В начале выполнения первого скрипта опять появилась ошибка в работе антируткита [Range check error], шаг [11] Не уверен, что будет лог
Скорее не будет ;(
очень странно, 2 пункт правил выполнить и сделать лучше такой лог : [url]http://virusinfo.info/showthread.php?t=10387[/url]
действиетельно нет файла virusinfo_syscure.zip
Никто не спрашивал, но в начале очень много функций перехватывается из файлов kernel32.dll, ntdll.dll и user32.dll
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
лог делать в обычном или безопасном режиме?
[quote=zock;138765]
лог делать в обычном или безопасном режиме?[/quote]разницы нет, так как драйвер AVZ всё равно не работает.
ну и задали работку. проверено 20%. Завтра к вечеру наверно cureit закончит. Хотя с радостью нашел 2 вируса в карантине AVZ.
при создании логов я закрывал NOD32. Но его ядро оставалось в памяти, так как оно грузится как служба. Это может влиять?
[QUOTE=drongo;138764]Скорее не будет ;(
очень странно, 2 пункт правил выполнить и сделать лучше такой лог : [url]http://virusinfo.info/showthread.php?t=10387[/url][/QUOTE]
очень бы хотелось увидеть ...
кстати, некоторое время назад мне пришлось отключить монитор NOD, так как при его включении винда вываливалась в синий экран или перегружалась. Очевидно NOD пытался зарегистрировать себя при перехвате некоторых функций, конфликтовал с вирусом и в синий экран.
Лог будет завтра. CureIT в карантине нашёл Trojan.NtRootkit.321 и BackDoor.Bulknet
проверка идёт, сделано 70%. Но подскажите, что за процессы setup.exe и _start.exe работют в безопасном режиме? Они относятся к CureIT? причём setup отъел 2 Гб виртуальной памяти.
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 17 минут[/I][/B][/color][/size]
Cureit завершил проверку и ничего не нашёл, кроме карантина. Cureit выполнялся по полной программе с CD.
Пока не перегружался. среди процессов по-прежнему висят setup.exe и _start.exe
Я выполнил первый стандартный скрипт. Он лога не выдал, так как в шаге 1.2 написал:
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] -[1]
п. 2 по ссылке выполнил. Сейчас приложу лог
вот
Тот же лог после перезагрузки в обычный режим
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи (стандартные, в нормальном режиме).
Братец Кролик, бесполезно.
На лечении/карантине опять ошибка. Исследование сстемы выплнено сразу после этого до перезагрузки, чтобы приложить лог тестирования.
выполните стандартный скрипт 6...
затем попробуйте выполнить стандартный скрипт 3 ...
не помогло. Ошибка в работе антируткита [Range Check error]
[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]
Добавил карантин. Там что-то новенькое. Может поможет разобраться.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 13 минут[/I][/B][/color][/size]
а как можно посмотреть стандартные скрипты?
в AVZ: Файл -- Станд. скрипты - отметить п.3 - нажать "Выполнить"
2zock ... поробуйте временно деинсталировать антивирус и файерволл ... и выполнить стандартный скрипт 3 ....
PavelA: имелось в виду посмотреть текст стандартного скрипта.
V-Bond: я попробую вечерком. До NOD и Outpost стоял Касперский антивирус и антихакер. Я их снёс перед установкой новых, в том числе и потоки NTFS, но может что-то осталось, что конфликтует между собой.
Может другими антируткитами провериться?
Для более старых версий есть текст на скриптовом языке. Могу выложить сюда.
Для лечения: отмечаешь п.1, выполнить. Затем проверка дисков с лечением полная.
Затем можно попробовать просто "Исследование системы".
Кажется чисто.
Что такое SSDP?
И что за процесс C:\PROGRA~1\MICROS~3\rapimgr.exe ?
Удалил NOD и Outpost. Наверно надо подправить в правилах, что надо не просто выгружать NOD, но и останавливать службу. В моём случае пришлось даже деинсталлировать.
1 [URL="http://www.oszone.net/2568/"]Служба обнаружения SSDP[/URL]
2 rapimgr.exe - ActiveSync Module
3 в логах ничего зловредного ...
4 из этого что используете ... ?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Используется анонимный доступ. Как отключить администратоивный доступ к дискам и автозапуск?
SSDPSRV нужен для Canon Library. Спасибо за помощь
отключаем администратоивный доступ к дискам и автозапуск ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]