Куча вирусов

Printable View

Показывать 40 сообщений этой темы на одной странице

20.02.2008, 21:57
orbison

оТ ЭРУДИРОВАННЫХ ЧАЙНИКОВ

Два трояна ntos.exe murka.dat i зловред в beep.sys лишили прав админа компа и невозможно отключить system restore.А без этого можно логи делать? Без выполнении условии Правил? Что делать ?Заранее благодарю.
20.02.2008, 22:00
wise-wistful

Без логов нельзя. А в чём проблема с логами?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Если только с отключением системы, то давайте пока так. Потом постараемся отключить и сделаем проверку уже с отключеным восстановлением.
20.02.2008, 22:00
drongo

Так и быть, мы вас простим ;) только обязательно выполнить 2 пункт правил - прoверим в действии эффективность cureit ;)
20.02.2008, 23:58
orbison

Куча вирусов

Админа права заблокированы от панели управления до выключения System restore. Заранее преогромно благоадрю:)

Syscheck_zip не нашел.:( Исполнил 3 и 4 станд. скрипт
21.02.2008, 00:14
drongo

а второй пункт правил делали ?

Выполнить скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\PavTPK.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\medichi2.exe','');
QuarantineFile('c:\windows\medichi.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

[/code]
Прислать карантин согласно пункту 3 правил по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=18393[/url]
21.02.2008, 00:16
orbison

Сureit нашел три зловреда.Выслал в новой теме" Куча вирусов" логи.Могли бы что то посоветовать.? THX
[color=red]не надо плодить темы, еcли та же система .[/color]
21.02.2008, 00:24
drongo

"Имена , пароли, явки ?" По подробней ;)
21.02.2008, 00:44
orbison

Выслал карантин чего то невижу где оно.Сгкуше находит murka.dat ntos .exe beep.sys . C Скрипт выполнил но на фронте без перемен .Благодарю
21.02.2008, 01:04
wise-wistful

ВЫполните в авз
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('msupdate', 4);
StopService('msupdate');
SetServiceStart('wincom32', 4);
StopService('wincom32');
TerminateProcessByName('c:\windows\medichi.exe');
TerminateProcessByName('c:\windows\medichi2.exe');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('pskmssvc.exe','');
QuarantineFile('PavPrSrv.exe','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\wincom32.ini','');
QuarantineFile('C:\WINDOWS\system32\alsys.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.ini');
DeleteFile('C:\WINDOWS\system32\alsys.exe');
BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('c:\windows\medichi.exe');
BC_DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
BC_DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
BC_DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteService('msupdate');
DeleteService('windev-7a11-1dbf');
DeleteService('wincom32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Профиксите
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')[/code]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Скрипт от [b]drongo[/b] - это сбор анализов. Вот результаты лабораторных исследований: ntos.exe - [b]Packed.Win32.PolyCrypt.d[/b], medichi.exe - [b]not-virus:Hoax.Win32.Renos.aom[/b], medichi2.exe - [b]not-a-virus:AdWare.Win32.Agent.aag[/b], Beep.SYS - [b]Trojan.Win32.Obfuscated.mp[/b], murka.dat - [b]Backdoor.Win32.Small.cbo[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

wincom32.sys - это [b]Email-Worm.Win32.Zhelatin.ab[/b]. Никаких писем странных последнее время не получали?
21.02.2008, 08:12
orbison

Преогромнейшее спасибо. Сделал скрипты и профиксировал но насколько вижу без перемен. Тока фиксирование сняла процесс ntos.exe. Глянул- эти зловредные файлы на местефайлы на месте :-(. TNX
21.02.2008, 08:13
Bratez

Сделайте новые логи, посмотрим, что осталось.
21.02.2008, 08:29
orbison

Единственно что уже ntos.exe не грузит проц.Отключить system restore не можем.Будем продолжать лечить.THX
21.02.2008, 23:01
orbison

После выполнения скрипта ничего не изменилось:(.ntos.exe опять грузит проц что даже выполнения логов зависло,пришлось завершить процесс чтоб закончить делать логи.Главное что невозможно отключить System restore.У админа компа вообще все права заблокированы даже taskmgr.У огр. лучше есть панель управления хотя бы..:? Заранее благодарен.
Вот повторные логи

Толко не могу понять где _syscheck.zip:O
21.02.2008, 23:21
akok

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,ntsvc32.dll,C:\WINDOWS\system32\ntos.e xe,
O20 - AppInit_DLLs: murka.dat[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

вы отключаете антивирус перед выполнением скрипта?
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('windev-7a11-1dbf', 4);
SetServiceStart('msupdate', 4);
SetServiceStart('wincom32', 4);
TerminateProcessByName('c:\windows\system32\ntos.exe');
StopService('wincom32');
StopService('windev-7a11-1dbf');
StopService('msupdate');
QuarantineFile('ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys','');
QuarantineFile('C:\WINDOWS\murka.dat','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('ntsvc32.dll');
DeleteService('windev-7a11-1dbf');
DeleteService('wincom32');
DeleteService('msupdate');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
BC_DeleteFile('C:\WINDOWS\system32\wincom32.sys');
BC_DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
BC_DeleteFile('C:\WINDOWS\murka.dat');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18393[/url]

Повторите логи

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

System Recovery: enabled-востановление системы необходимо отключать.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Попробуйте после этого скрипта отлючить:)
[code]begin
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
22.02.2008, 00:42
orbison

Спасибоо Вам.Выполнил скрипт выслал карантин сделал логи
22.02.2008, 00:53
V_Bond

отключите восстановление системы !!!
обновите базы авз !!!
пофиксите ...
[code]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: murka.dat
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ntsvc32.dll','');
QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
QuarantineFile('Birk66.sys','');
SetServiceStart('Birk66', 4);
StopService('Birk66');
SetServiceStart('msupdate', 4);
StopService('msupdate');
QuarantineFile('c:\windows\system32\msvcrtd.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('c:\windows\medichi2.exe','');
QuarantineFile('c:\windows\medichi.exe','');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Birk66.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('ntsvc32.dll');
BC_DeleteSvc('Birk66');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('windev-7a11-1dbf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
22.02.2008, 08:46
orbison

Cпасибо большое.Не обновляется база avz -error loading [21,00002EFD] отключить восстановление системы невозможно.Права админа компа зловредом ограничены.
THX

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Единственно что админ компа может сделать -это антивирус отключить. Кроме этого при запуске=точнее в середине запуска Hijackthis появляется сообщения что система denied write access to host file. И если это нужно то надо самому run notepad C:\ Windows\System 32\drivers\etc\hosts
22.02.2008, 08:58
V_Bond

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
полсле должно получится отключить восстановление системы ...
22.02.2008, 21:46
orbison

СПАИБО БОНД вы настоящий Бонд!!!УДАЛОСЬ ПОЛУЧИЛОСЬ !!ОТКЛЮЧИЛИ ВОССТАНОВЛЕНИЕ СИСТЕМЫ ! предыдущий скрипт делать? thx
22.02.2008, 21:53
V_Bond

конечно ... и карантин прислать и логи повторить ...
22.02.2008, 22:33
orbison

Спасибо за свет в конце тоннеля панель управления и отключение восстановление системы появилось. Выслал карантин сделал логи
22.02.2008, 22:47
orbison

Но прежде всего конечно профиксил как вы указали и выполнил тот предыдущий скрипт.
22.02.2008, 22:59
V_Bond

пофиксите ...
[code]
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O20 - AppInit_DLLs: murka.dat
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
DeleteService('wincom32');
DeleteService('windev-7a11-1dbf');
DeleteFile('c:\windows\medichi.exe');
DeleteFile('c:\windows\medichi2.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\murka.dat');
DeleteFile('C:\WINDOWS\system32\windev-7a11-1dbf.sys');
DeleteFile('C:\WINDOWS\system32\wincom32.sys');
DeleteFile('c:\windows\system32\msvcrtd.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Beep');
BC_DeleteSvc('wincom32');
BC_DeleteSvc('windev-7a11-1dbf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
22.02.2008, 23:44
orbison

Cпасибо.выполнил предписания и сделал логи
22.02.2008, 23:49
V_Bond

вы отключаете антивирус перед выполнением скрипта .... ?
обновите базы авз !!!
23.02.2008, 00:09
orbison

Aнтивирус отключен.disabled protection -может дезинсталировать его? обновление баз -в процессе появляется тот же error loading [21,00002EFD].Спасибо

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

а что собственно наблюдается у вас?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Вопрос имеет ли значение с какой учетной записи выполняется скрипты и тп? обязательно требуется это делать с учетной записи админа компа ?
23.02.2008, 00:15
V_Bond

скрипт только под админом ( с правами админа)....
обновления можно скачать [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url] (вся база целиком)
23.02.2008, 00:19
orbison

Админ отключил восстановление системы и антивирус -остальное делалось с ограниченной учетной записи.. так как сейчас быть?
23.02.2008, 00:24
V_Bond

скрипты с ограниченной учетной записи почти бессильны ...
23.02.2008, 00:30
orbison

Так повторить последний скрипт с учетной записи админа?А логи тоже?
23.02.2008, 00:31
V_Bond

все лечение нужно віполнять с правами администратора ...
23.02.2008, 00:34
orbison

Авз запускается с ограниченной учетной записи

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Ок.так что делать щас с учетной записи админа? спасибо
23.02.2008, 00:37
V_Bond

давайте выполним скрипт из поста 23 и новые логи ...
23.02.2008, 01:34
orbison

Выполнил скрипт и вот новые логи

Вот только не понял как при отключенном антивирусе он отреагировал на HiJackthis как на содержащего malware..? Спасибо
23.02.2008, 01:54
wise-wistful

Ну вот, что значит права админа. Профиксите
[code]O20 - AppInit_DLLs: murka.dat[/code]
Это Вам знакомо [b]Documents and Settings\Tania\Menu Start\Programy\Autostart\oespyldb.exe[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

hijackthis.log - повторите.
23.02.2008, 13:47
orbison

Спасибо !!Лед тронулся-вроде невижу этого ntosa заработала аська и остальные-Дай Бог вам здоровья! То \oespyldb.exe знакомо как MDos на старте.Но вроде murka.dat не вижу в Windows?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 36 минут[/I][/B][/color][/size]

А профиксить и HijACKTHIS лог вложить тоже надо с учетной записи админа?
Спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

МОЛОДЦЫ РЕБЯТА!!! ПОЛГОДА КАК ДОСТАЛ ЭТОТ NTOS. НЕ УЗНАЮ КОМПА -НЕ ВЫЛАЗИТЬ ALERT,РАБОТАЮТ ВСЕ КОММУНИКАТОРЫ..благодарю!!
23.02.2008, 14:22
orbison

При фикс.Hijackhis`ом появилось сообщение что отказ доступа to hosts file.Что HiJack не может фиксовать этот файл.И что надо самому edit : start run notepad C:\Windows\System32\drivers\etc\hosts
и find the lin(es) HiJackthis reports and delete them.Save the file as "hosts"(with quotes) and reboot.
И одновременно отключен антивирус выдает сообщение что hosts это какая то malware.
Вложил лог.
23.02.2008, 16:07
Bratez

В этом логе кроме oespyldb.exe ничего подозрительного не видно.
Файл hosts можно очистить в AVZ таким скриптом:
[code]begin
ClearHostsFile;
end.[/code]
Хотя по логам необходимости в этом не просматривается.
23.02.2008, 20:13
orbison

И логи повторять не надо?Можно включить восстановление системы?
А ничего нет зловредного когда зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя?
THX

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Извиняюсь за simplicitas а чего так много просмотров по нашей теме?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Так hosts и
oespyldb.exe это то же самое?
23.02.2008, 20:30
V_Bond

1 восстановление системы включать можно
2 hosts и oespyldb.exe не одно и тоже ....
3
[code]
зависает загрузка учетнай записи админа компа при невыключенной записи огр.пользователя
[/code]
не понял .... это при быстром переключении пользователей ?

Показывать 40 сообщений этой темы на одной странице