Маскировка процесса Iexplore.exe

Printable View

17.10.2007, 22:43
Геннадий

Вложений: 3

Маскировка процесса Iexplore.exe

Проблемы с Iexplore.exe. Система виснет. Процесс маскируется.
17.10.2007, 22:49
Trotil

Сочувствую.

Если вы хотите, чтобы вам не только посочувствовали, но и помогли,нужно выполнить правила ([url]http://virusinfo.info/showthread.php?t=1235[/url]) и прислать 3 лога.
17.10.2007, 22:56
Геннадий

Похоже процесс продолжается. Хотя и не так шустро.
Первый раз вложения не дошли. Может я еще чего не сделал? Был бы признателен за совет.
17.10.2007, 23:23
Numb

Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: (no name) - {AF461491-BA7E-41A7-9E75-4F3A70CFCED2} - C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINNT\AUTOLO~1\AL2DLL.dll
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
O4 - HKCU\..\Run: [userinit] C:\WINNT\system32\ntos.exe
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINNT\system32\ntos.exe (User 'Default user')
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O9 - Extra button: (no name) - DctMapping - (no file)[/code] Затем, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\Webservers\etc\utils\Boot.exe','');
QuarantineFile('C:\WINNT\AUTOLO~1\AL2DLL.dll','');
QuarantineFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll','');
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\WINNT\all.exe','');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
QuarantineFile('\??\C:\WINNT\System32\drivers\runtime.sys','');
BC_DeleteFile('\??\C:\WINNT\System32\drivers\runtime.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
// BC_DeleteFile('C:\WINNT\all.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
BC_DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
// DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
BC_deleteSVC('runtime');
BC_deleteSVC('runtime2');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=13304[/url] , как написано в прил.3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и сделайте новые логи, начиная с п.10 правил
18.10.2007, 18:58
Геннадий

"Пофиксите" это как понять. Извините, не понял.
Остальное сделаю сегодня ночью.
Пардон, увидел ссылку!

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 18 минут[/I][/B][/color][/size]

Файлы из карантина закачал. Логи сейчас делаю. Их тоже закачать или будет сказано доплнительно?
18.10.2007, 19:08
PavelA

Логи закачивай.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

C:\WINNT\system32\ntos.exe - Trojan.Inject.436(Др.Веб), Trojan-PSW.Win32.Zbot.n (Касперский)
а второй Trojan.Pandex по Симантеку.

Время менять пароли везде и всюду.
18.10.2007, 19:34
Геннадий

Вложений: 2

После 10 пункта у меня 2 лога. Ничего
18.10.2007, 19:42
PavelA

Странно, но некоторые выжили.

Выполнить в Safe Mode:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINNT\Temp\startdrv.exe');
DeleteFile('C:\WINNT\all.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
BC_DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
BC_DeleteFile('C:\DOCUME~1\mts\LOCALS~1\Temp\hostsrv.dll');
// DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// BC_DeleteFile('C:\WINNT\AUTOLO~1\AL2DLL.dll');
// т.к. Доктор Веб снесен
BC_DeleteSvc('spidernt');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Затем снова сделать логи.
18.10.2007, 19:50
Геннадий

Антивирусником удалил 15 троянов. Ещё значит остались.
18.10.2007, 19:52
PavelA

Логи после скрипта из №8?
18.10.2007, 20:57
Геннадий

Вложений: 1

В безопасном режиме архивного файла не создал или под той же датой что была до этого. Два раза запускал скрипт. Процесса зловредного фаервол не ощущает.
Никто гикуда не просится. Неужели...?
18.10.2007, 21:00
Геннадий

Лог отправлен один.
К сожалению я мало что здесь понимаю, но чувствую происходит что-то важное...
18.10.2007, 21:28
V_Bond

пофиксите ...
[code]
O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINNT\system32\msindeo.dll (file missing)
O4 - HKLM\..\Run: [startdrv] C:\WINNT\Temp\startdrv.exe
[/code]
нужны новые логи AVZ как в первом вашем сообщении
19.10.2007, 06:58
Геннадий

Логи получать в обычном режиме, незащищенном?
19.10.2007, 07:09
Muzzle

в обычном режиме.
19.10.2007, 19:57
Геннадий

Вложений: 3

Закачиваю логи послепоследнего фиксинга.
19.10.2007, 20:16
V_Bond

похоже что все чисто , НР у вас есть ? если нет поищите orderreminder.exe через поис AVZ
19.10.2007, 20:39
Геннадий

HP это что? Не принтер же наверно...
Указанный файл сейчас поищу.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

OrderReminder.exe есть, дата создания 18.11.2006 .
AVZ спрашивает копировать в карантин или удалить?
Что делать?
19.10.2007, 20:41
V_Bond

карантинить ,и отправить по ссылке над темой....
19.10.2007, 20:44
Геннадий

Принтер НР есть. Не догнал сразу...
19.10.2007, 21:00
V_Bond

пришлите файл , на всякий случай ...
19.10.2007, 21:26
Геннадий

Находит файл orderreminder.exe , нажимаю копировать - припросмотре его в карантине нет.
Взял новый AVZ, снова сделал "как правильно искать...", в карантине ничего нет. Что делать-то?
19.10.2007, 21:27
V_Bond

значит он в базе безопасных ... и скорее всего от вашего принтера ...
больше ничего подозрительного не вижу ...
19.10.2007, 21:36
Геннадий

Спасибо огромное за помощь!
Может быть есть какие рекомендации, как избежать подобные ситуации. Пароли точно надо менять?
Трояны остановить как-то возможно на входе?
19.10.2007, 21:39
V_Bond

[URL="http://virusinfo.info/showthread.php?t=1550"]рекомендуемые антивирусы[/URL]
20.10.2007, 22:50
Геннадий

Взял кое-что из рекомендованного. Нашел ещё немного троянов. Кончал их. Система не рухнула.
Всё работает.

И вдень и в ночь по всей стране
В различных поясах,
Хоть дома Вы, но на войне
И Вам неведом страх!

Бить гадов Хелперам с руки,
На то есть ум и стать.
Железные Вы мужики!
Ни дать, ни взять. Не взять!

[SIZE=1][COLOR=#666686][B][I]Добавлено через 13 минут[/I][/B][/COLOR][/SIZE]

!!!
22.02.2009, 02:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] c:\\winnt\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.zr[/B] (DrWEB: Trojan.Inject.436)[/LIST][/LIST]