Собственно сидит чего-то. Симантек говорит троян.пандекс вроде бы удаляет, потом опять появляется. И ещё про руткит и хактул ругается и инфостилер. Вобщем полный винегрет.
Printable View
Собственно сидит чего-то. Симантек говорит троян.пандекс вроде бы удаляет, потом опять появляется. И ещё про руткит и хактул ругается и инфостилер. Вобщем полный винегрет.
У вас старая версия AVZ, скачайте 4.27.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WIN_XP\system32\сsrss.exe','');
QuarantineFile('C:\WIN_XP\system32\winsos.exe','');
QuarantineFile('C:\WIN_XP\system32\winsn.exe','');
QuarantineFile('C:\WIN_XP\system32\syst80.dll','');
QuarantineFile('C:\WIN_XP\system32\shovth.exe','');
DeleteFile('C:\WIN_XP\system32\syst80.dll');
DeleteFile('C:\WIN_XP\system32\winsn.exe');
DeleteFile('C:\WIN_XP\system32\winsos.exe');
DeleteFile('C:\WIN_XP\system32\сsrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Забыл добавить: похоже, у вас восстановление системы не отключено. Отключите его перед выполнением вышесказанного.
Карантин отправил. Логи сейчас сделаю.
AVZ и базы обновил.
Восстановление системы было отключено.
[b]Trojan-Spy.Win32.KeyLogger.rp[/b] C:\WIN_XP\system32\winsn.exe
[b]Trojan-Spy.Win32.KeyLogger.rp[/b] C:\WIN_XP\system32\shovth.exe
Логи сделал. Симантек по прежнему находит Пандекс и ещё что-то.
Выполнить
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('c:\win_xp\system32\shovth.exe');
QuarantineFile('C:\WIN_XP\system32\сsrss.exe','');
DeleteFile('C:\WIN_XP\system32\winsn.exe');
QuarantineFile('C:\WIN_XP\system32\winsos.exe','');
DeleteFile('C:\WIN_XP\system32\сsrss.exe');
BC_DeleteFile('C:\WIN_XP\system32\сsrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
Сделать доп. лог из раздела "Чаво" в защищ. режиме.
[b]ОТКЛЮЧИТЕ восстановление системы![/b]
[quote=rubin;150418][B]ОТКЛЮЧИТЕ восстановление системы![/B][/quote]
Почему вы считаете что не отключено?
Отключено с момента установки системы.
Перепроверил ещё раз: галочка стоит "Отключить восстановление системы".
Может какая зараза её восстанавливает?
В логах видны файлы C:\System Volume Information\_restore****** и подобные
[URL="http://virusinfo.info/showthread.php?t=8877"]это[/URL] проделайте ...
повторите логи... + лог о котором говорил PavelA ...
C:\System Volume Information\_restore****** видимо остались от предыдущей инсталляции Windows.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe','');
DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001963.EXE');
DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0001987.EXE');
DeleteFile('C:\System Volume Information\_restore{0E562DB3-0B21-491A-8975-88B1A25A2089}\RP27\A0004556.com');
DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002001.COM');
DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002388.COM');
DeleteFile('C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\A0002601.COM');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по правилам.
При выполнении последнего скрипта АВЗ повис и больше не запускается. Говорит нет прав доступа.
Карантин после скрипта PavelA выслал, лог в безопасном режиме тоже.
Ладно, оставим в покое эти restore, они не опасны, т.к. к вашей системе не принадлежат.
Вот этот файл вам знаком? -
C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe
Если не уверены в его безопасности, выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.USER\Рабочий стол\dirt\game0.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
и пришлите карантин.
[url]http://virusinfo.info/showthread.php?t=10387[/url] - вот такой лог нужно сделать и прикрепить сюда.
Карантин выслал. Лог в безопасном режиме сейчас сделаю.
Симантек по прежнему при каждой перезагрузке находит "инфостилер".
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Папку с game0.exe удалил совсем. Не нужна.
Файл в карантин не попал, ждем лог
Майлрушный агент установлен? В нем часто Симантек находит инфостеалер.
Да агент установлен.
Лог в безопасном режиме прилагаю.
Кстати сейчас autorun.inf вроде больше не появляются.
И раньше сам-собой исчезал просмотр скрытых файлов.
Теперь нет не исчезает.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys');
BC_QrFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys');
BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntosnh.sys');
BC_DeleteFile('\??\C:\WIN_XP\system32\drivers\ntoss.sys');
BC_QrSvc('ntosnh');
BC_QrSvc('ntoss');
BC_DeleteSvc('ntosnh');
BC_DeleteSvc('ntoss');
BC_Activate;
RebootWindows(true);
end.
[/code]
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WIN_XP\system32\drivers\ntoss.sys','');
QuarantineFile('C:\WIN_XP\system32\drivers\ntosnh.sys','');
BC_DeleteFile('C:\WIN_XP\system32\drivers\ntosnh.sys');
BC_DeleteFile('C:\WIN_XP\system32\drivers\ntoss.sys');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если что-то попадет в карантин, то прислать.
В Симантеке можно настроить "Исключения" чтобы он не ругался на библиотеку от Агента.
Вроде все делаю а воз и ныне там.
Симантек ругается на троян.пандекс, хактул и ещё чего-то.
Высылаю новые логи, но по моему эти файлы, которые в скрипте на удаление, не удалились.
Файл карантина тоже отправил.
Зверей стало поменьше. Все-таки кое-что удалилось.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
C:\WIN_XP\system32\wininet.exe - искать через AVZ и удалять.
Осталось профиксить в логе hijackthis:
[CODE]O4 - HKLM\..\Run: [winroot] C:\WIN_XP\system32\winsn.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WIN_XP\system32\svshost.dll
[/CODE]
Сейчас еще скрипт напишу для их удаления.
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
Вот такой скрипт получился:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WIN_XP\system32\wininet.exe','');
DeleteFile('C:\WIN_XP\system32\wininet.exe');
QuarantineFile('C:\WIN_XP\system32\winsn.exe','');
DeleteFile('C:\WIN_XP\system32\winsn.exe');
QuarantineFile('C:\WIN_XP\system32\svshost.dll','');
DeleteFile('C:\WIN_XP\system32\svshost.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
после него новые логи и загрузить карантин.
На какие файлы ругается Симантек? Можно посмотреть пути и имена в карантине Симантека.
Симантек ругается на:
1. Hacktool.Keygen.151552 по адресу: C:\System Volume Information\_restore{4F67E949-0D84-4B59-BAFC-88C3C23B7C4A}\RP4\
2. два раза на Trojan.Pandex по адресу: C:\0002
3. и три раза Trojan.Pandex без указания адреса и имени файла
это за сегодня.
Логи сейчас сделаю.
[QUOTE=Autocom;150681]Симантек ругается на:
2. два раза на Trojan.Pandex по адресу: C:\0002
3. и три раза Trojan.Pandex без указания адреса и имени файла
[/QUOTE]
C:\0002 - файл есть такой? Или это директория на диске. Нигде ничего подобного в логах не светится.
Вот про это непонятно, откуда стартует и почему виден только в хиджаке C:\WIN_XP\system32\wininet.exe
Файла 0002 нет и папки такой нет.
На с:\ есть файл 0001, а также 88D85C8C.exe , которые я уже несколько раз удалял, они снова появляются.
Теперь ещё появился msntshyv.exe , хотя раньше по моему не было.
А на флешке постоянно появляется autorun.inf и 584AC1FD.exe удаление не помогает, появлеются снова с теми же именами.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Только что симантек опять троян.пандекс и опять 0002
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
Кстати опять стал сам-собой исчезать просмотр скрытых файлов и папок.
Автозапуск флешки надо отключить и пролечить.
Искать через AVZ autorun.* - и удалить со всех дисков. Один из них загрузить в карантин. 0001 - в карантин и прислать.
Кстати, последний Dr.Web умеет в лет эту гадость убивать.
Надо сделать так: скачать Cure-It с freedrweb и проверить полностью компьютер.
В автозагрузке постоянно появляются 3 файла:
sis32 C:/WIN_XP/sistem32/winsos.exe
sisw C:/WIN_XP/sistem32/csrss.exe
winroot C:/WIN_XP/sistem32/winsn.exe
Скрипт из №23 выполнил?
Да скрипт выполнил сразу.
Паучка скачал, сейчас лечит. Уже кучу наловил.
И после перезагрузки снова не появляются.
Карантин с 0001 сейчас отправлю.
Огромное спасибо за помощь.
001-Trojan-Spy.Win32.KeyLogger.rt (kaspersky)
[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]
Во время лечения антивирус надо отключать , иначе весело будет ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\win_xp\\system32\\shovth.exe - [B]Trojan-Spy.Win32.KeyLogger.rt[/B] (DrWEB: Trojan.DownLoader.60974)[*] c:\\win_xp\\system32\\winsn.exe - [B]Trojan-Spy.Win32.KeyLogger.rt[/B] (DrWEB: Trojan.DownLoader.60974)[*] c:/0001 - [B]Trojan-Spy.Win32.KeyLogger.rt[/B] (DrWEB: Trojan.DownLoader.60974)[/LIST][/LIST]