Вирусы

Printable View

05.02.2008, 18:43
Denis79

Вирусы

Проверил Вебом в безопасном. Далее все как в правилах, syscheck почему-то не сформировался. Остальное прикладываю.
05.02.2008, 18:55
drongo

Отключить антивирус,интернет
.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('D:\PicaJet\PJExt.dll','');
QuarantineFile('d:\winamp\Саша\winampa.exe','');
QuarantineFile('c:\windows\taskmon.exe','');
QuarantineFile('c:\windows\hporclnr.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svcfe.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17587[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

C:\ff94849656b791168c19838e20f8f4a9\- это виндоус вы обновляли ? странная папка :-)
05.02.2008, 19:05
Denis79

Выполнил.
Предыстория появления папки неизвестна (попросили комп посмотреть :) ).
05.02.2008, 19:06
rubin

Это вроде папка при установлении IE7 появляется...
05.02.2008, 19:10
Denis79

Вероятно обновиться пытались (карантин загрузил).
05.02.2008, 20:17
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\AgCPanelKoreane.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svcfx.exe','');
QuarantineFile('C:\WINDOWS\system32\advapi32h.exe','');
QuarantineFile('C:\WINDOWS\system32\3194208064f.exe','');
QuarantineFile('C:\WINDOWS\system32\12520850j.exe','');
QuarantineFile('C:\WINDOWS\system32\actskin4r.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svcfxz.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp','');
QuarantineFile('C:\WINDOWS\system32\3076e.exe','');
QuarantineFile('C:\WINDOWS\system32\adptifn.exe','');
QuarantineFile('C:\WINDOWS\system32\6to4svcfe.exe','');
DeleteFile('c:\windows\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\6to4svcfe.exe');
DeleteFile('C:\WINDOWS\system32\adptifn.exe');
DeleteFile('C:\WINDOWS\system32\3076e.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp');
DeleteFile('C:\WINDOWS\system32\6to4svcfxz.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\actskin4r.exe');
DeleteFile('C:\WINDOWS\system32\12520850j.exe');
DeleteFile('C:\WINDOWS\system32\3194208064f.exe');
DeleteFile('C:\WINDOWS\system32\advapi32h.exe');
DeleteFile('C:\WINDOWS\system32\6to4svcfx.exe');
DeleteFile('C:\WINDOWS\system32\AgCPanelKoreane.exe');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ekp38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Iot27.sys');
BC_DeleteSvc('Iot27');
BC_DeleteSvc('Ekp38');
BC_DeleteSvc('taskmon.sys');
BC_DeleteSvc('SoundMAXClipSrvERSvc');
BC_DeleteSvc('SoundMAXClipSrv');
BC_DeleteSvc('RpcSsCiSvc');
BC_DeleteSvc('ProtectedStorageRasMan');
BC_DeleteSvc('PolicyAgentNla');
BC_DeleteSvc('PlugPlaySysmonLog');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('mnmsrvcdmserver');
BC_DeleteSvc('HTTPFilterUPS');
BC_DeleteSvc('CryptSvcThemes');
BC_DeleteSvc('avast! Agent Service (default)');
BC_DeleteSvc('aspnet_statesrservice');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
05.02.2008, 20:19
drongo

это из того что прислали...
vedxg6ame4.exe- Email-Worm.Win32.Zhelatin.uw
taskmon.sys Trojan-Proxy.Win32.Agent.xo

taskmon.exe Trojan-Downloader.Win32.Tibs.uo

6to4svcfe.exe Backdoor.Win32.IRCBot.bgg

c:\windows\hporclnr.exe точно гадость, но в карантине нет. надо бы поискать и прислать
P.S. Denis79,Нужно провести инструктаж пользователю, как пользоваться инетом вообще , и особенно указать на то ,что под админом бродить по всем помойкам и кликать на всё что приходит по мылу- приводит к плачевным результатом.
06.02.2008, 11:53
Denis79

Карантин загрузил. Проверку выполнил, логи приложил.
06.02.2008, 11:53
Denis79

hporclnr.exe загрузить как карантин?
06.02.2008, 11:59
Shu_b

[QUOTE=Denis79;183694]hporclnr.exe загрузить как карантин?[/QUOTE]

см. приложение 3 правил!!!
06.02.2008, 12:18
Denis79

Он не попал в карантин AVZ, посему ручками его сжал, присвоил пароль и загружаю согласно п. 3
07.02.2008, 14:06
drongo

вирусный аналитик говорит: чистый. Всё же, я бы от него избавился :) Этот файл должен был сам самоликвидироваться , вообще странно, что он остался живой. Я ещё разок пошлю на анализ.
07.02.2008, 14:28
Denis79

А логи чистые? Можно работать?
07.02.2008, 14:57
drongo

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550.sys','');
QuarantineFile('C:\WINDOWS\system32\vedxga1me4t1.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg4am1et2.exe','');
QuarantineFile('C:\WINDOWS\system32\apiuser32.dll','');
DeleteFile('C:\WINDOWS\system32\vedxg4am1et2.exe');
DeleteFile('C:\WINDOWS\system32\vedxga1me4t1.exe');
BC_QrSvc('asc3550p');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
не совсем , загрузите новый карантин
07.02.2008, 16:10
Denis79

Карантин загрузил. Новые логи делать?
07.02.2008, 16:37
Denis79

Поздно. :)) Уже сделал новые логи.
07.02.2008, 16:53
Bratez

apiuser32.dll - ждем ответ от вирлаба.
07.02.2008, 17:08
drongo

hporclnr говорят чистый,

apiuser32.dll - ждем ответ ...
08.02.2008, 03:02
Bratez

apiuser32.dll - [b]Trojan-PSW.Win32.Delf.aoz[/b] (свежачок!)

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\hporclnr.exe');
DeleteFile('C:\WINDOWS\system32\apiuser32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('asc3550p');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
08.02.2008, 11:01
Denis79

Выполнил.
Логи приложил.
08.02.2008, 11:07
V_Bond

выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
08.02.2008, 11:46
Denis79

Выполнил. Логи прикладываю.
08.02.2008, 13:31
V_Bond

нужен карантин .... логи кажется я не просил ... или мне это только кажется ?
08.02.2008, 13:40
Denis79

Во вкус вошел :))) Отправил
08.02.2008, 15:59
rubin

[b]Trojan-Downloader.Win32.Agent.ino[/b] C:\WINDOWS\system32\userinit.exe
Надо заменить чистым с дистрибутива