вирус

Printable View

05.01.2008, 13:03
vve

вирус

В стандартном режиме комп перезагружается, сделал в безопасном.
05.01.2008, 13:32
wise-wistful

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\newmaxxsv234.exe','');
QuarantineFile('C:\WINDOWS\system32\oriieke7a136a3e.sys','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\mrofinu27.exe','');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\newmaxxsv234.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15989[/url]

Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com
05.01.2008, 13:46
vve

[quote=wise-wistful;167397]
Если эту запись в hots файл делали Вы то потом прийдётся сделать её ещё раз 127.0.0.1 serial.alcohol-soft.com[/quote]

Карантин загружен.
Что за hots-файл? никуда ничего не добавлял.
05.01.2008, 13:55
wise-wistful

раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
попробуйте сделать логи в обычном режиме.
05.01.2008, 14:01
vve

[quote=wise-wistful;167414]раз не добавляли значит ничего и менять не надо, скриптом я вам его очистил, там было много "интересного", что бы вы не могли зайти на ресурсы антивирусных программ.
попробуйте сделать логи в обычном режиме.[/quote]

В стандартном режиме так и не выполняются стандартные скрипты, комп перезагружается, что делать?
05.01.2008, 14:17
wise-wistful

C:\WINDOWS\system32\oriieke7a136a3e.sys - вирус Email-Worm.Win32.Zhelatin.qb
C:\WINDOWS\mrofinu27.exe - троянская программа Trojan-Downloader.Win32.Agent.gwh

Выполните в АВЗ ...

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\oriieke7a136a3e.sys');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Профиксите ..

[CODE]R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Электротех& #1085;ика\Application Data\Mra\Update\mrasearch.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\system32\newmaxxsv234.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe[/CODE]
05.01.2008, 14:39
vve

Скрипт выполнил, пофиксил, эти 4 строчки исчезли, но опять при выполнении стандартного скрипта в авз комп перезагружается
05.01.2008, 14:42
V_Bond

отключите аутпост и антивирус ... и сделайте новые логи ...
05.01.2008, 15:56
vve

[quote=V_Bond;167440]отключите аутпост и антивирус ... и сделайте новые логи ...[/quote]

сделал
05.01.2008, 16:15
V_Bond

отключите аутпост и антивирус
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Taf40');
BC_DeleteSvc('ip6fw');
BC_DeleteSvc('Lvst79');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
05.01.2008, 17:26
vve

Все сделал
05.01.2008, 17:31
V_Bond

все на месте ... попробуйте выполнить скрипт в safe mode ....
05.01.2008, 17:37
vve

[quote=V_Bond;167483]отключите аутпост и антивирус
выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Lvst79', 'Start');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Taf40', 'Start');
RebootWindows(true);
end.
[/code]
затем еще один ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf40.sys','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tdicf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\Lvst79.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Taf40.sys');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\Documents and Settings\Электротехника\Local Settings\Temp\3C.tmp');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Taf40');
BC_DeleteSvc('ip6fw');
BC_DeleteSvc('Lvst79');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ..[/quote]

эти два?
05.01.2008, 17:41
wise-wistful

Да попробуйте оба и потом повторите логи.
06.01.2008, 16:18
vve

сделал
06.01.2008, 16:23
V_Bond

уже чище ...
пришлите свежий карантин ....
07.01.2008, 18:43
vve

[quote=V_Bond;167928]уже чище ...
пришлите свежий карантин ....[/quote]

сохранил
09.01.2008, 12:35
vve

кто-нибудь из helper'ов смотрел карантин?
09.01.2008, 13:03
wise-wistful

выполните в АВЗ

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\taskmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

загрузите карантин по правилам.

профиксите ...

[CODE]O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe[/CODE]
09.01.2008, 13:10
akok

Похоже Trojan.Patched.AU (BitDefender)

svchost.exe не прошел по базе безопасных

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

У вас есть установочный диск? (переустанавливать ничего не надо!)
09.01.2008, 16:23
vve

[quote=akoK;169291]Похоже Trojan.Patched.AU (BitDefender)

svchost.exe не прошел по базе безопасных

[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]

У вас есть установочный диск? (переустанавливать ничего не надо!)[/quote]

Установочного диска нет

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=wise-wistful;169289]выполните в АВЗ

[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\MSCORE.DLL','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\taskmon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

загрузите карантин по правилам.

профиксите ...

[code]O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe[/code][/quote]

скрипт выполнил, пофиксить не получилось, т.к. этой строчки уже нет, карантин загрузил
09.01.2008, 16:33
akok

C:\WINDOWS\System32\MSCORE.DLL - [B]Trojan.Win32.Small.yd[/B]

C:\WINDOWS\system32\svchost.exe - [B]Trojan.Win32.Patched.bh[/B](как и ожидалось) с этой дрянью успешно справляется касперский 7.0 насчет дрвеба уточню

p.s. svchost.exe удалять нельзя только лечить!
09.01.2008, 16:36
V_Bond

давайте попробуем так ...
выполните скрипт ...
[code]
begin
RenameFile('%windir%\system32\svchost.exe', '%windir%\system32\svchost.bak');
CopyFile('%windir%\system32\dllcache\svchost.exe', '%windir%\system32\svchost.exe');
BC_DeleteFile('%windir%\system32\svchost.bak');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','SFCDisable',000000000);
BC_DeleteFile('%windir%\System32\MSCORE.DLL');
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
10.01.2008, 11:39
vve

новые логи
10.01.2008, 12:02
Bratez

Следом такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Ubh17');
SetServiceStart('Ubh17', 4);
BC_DeleteFile('C:\WINDOWS\Ubh17.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ubh17.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('Ubh17');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новые логи.
10.01.2008, 17:09
vve

новые логи
10.01.2008, 17:23
wise-wistful

Выполните в АВЗ

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Электротехника\Рабочий стол\Home Credit\ScriptX_new.rar','');
QuarantineFile('C:\Documents and Settings\Электротехника\Рабочий стол\Home Credit\ScriptX_new\SXdocs.zip','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Nh.sys','');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам
11.01.2008, 10:41
vve

новый карантин загружен
11.01.2008, 12:00
wise-wistful

повторите логи посмотрим, что там осталось.
11.01.2008, 14:35
vve

[quote=wise-wistful;170541]повторите логи посмотрим, что там осталось.[/quote]

новые логи
11.01.2008, 14:41
Bratez

Больше ничего плохого не видно.
Вам что-нибудь нужно из этого списка?
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
11.01.2008, 14:48
vve

[quote=Bratez;170602]Больше ничего плохого не видно.
Вам что-нибудь нужно из этого списка?
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.[/quote]

ничего из этого не надо
11.01.2008, 14:53
rubin

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]