На компьютере жил целый виварий,
частично извел врагов с помощью NAV 2003
остальное добивал AVZ.
Извергов было много, и теперь мучаюсь сомнениями
все ли они ушли и не оставили что-нить на память о себе :)
Printable View
На компьютере жил целый виварий,
частично извел врагов с помощью NAV 2003
остальное добивал AVZ.
Извергов было много, и теперь мучаюсь сомнениями
все ли они ушли и не оставили что-нить на память о себе :)
ещё много чего есть :lol:
Отключить симантек и интернет.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('iegm486.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\WINDOWS\aromis.exe','');
QuarantineFile('C:\WINDOWS\ArgoUpdate.cmd','');
QuarantineFile('C:\Documents and Settings\user\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\47B9.tmp.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqx42.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Jqs31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gnu86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Els07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hjq63.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\47B9.tmp.exe');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\user\cftmon.exe');
DeleteFile('c:\autoex.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6 );
ExecuteRepair(8 );
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21944[/url]
сделайте новые логи.
P.S. Это только начало, скорее всего надо будет ледяной меч качать ;)
иш какие коварные попались))
карантин загрузил
Файл сохранён как 080424_025218_virus_48103c32e2beb.zip
Размер файла 19817
MD5 c3b80bad10a65ae1d5168b9c277d97c8
симантек коварно не желает отключаться.
P.S. меч так меч:)
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\user\ie_updates3r.exe');
QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
QuarantineFile('C:\WINDOWS\kavir.exe','');
QuarantineFile('C:\WINDOWS\aromis.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('c:\documents and settings\user\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('c:\documents and settings\user\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Cls42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Els07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gnu86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hjq63.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Jqs31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqx42.sys');
DeleteFile('C:\WINDOWS\aromis.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
BC_ImportDeletedList;
BC_DeleteSvc('lbrtfdc');
BC_DeleteSvc('Jqs31');
BC_DeleteSvc('Hjq63');
BC_DeleteSvc('Gnu86');
BC_DeleteSvc('Els07');
BC_DeleteSvc('Cls42');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Google Online Services');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21994[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing) [/CODE]
Повторите логи
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В карантин попали: WLCtrl32.dll - [b]Trojan-Downloader.Win32.Mutant.hx[/b], partnership.dll - [b]Trojan-Proxy.Win32.Xorpix.ds[/b] по ArgoUpdate.cmd - нужно подождать ответа аналитиков.
Скрипт выдает ошибку
Undeclared identifer: BC_DeleteServcice в позиции 33:17
ArgoUpdate.cmd это творение нашего сис админа призваное обновлять рабочую базу.
Вы в скрипте ничего не меняли?Там нет такой команды BC_DeleteServcice,скрипт правильный.
[b]alexx[/b] я заметил свою ошибку исправил скрипт, но Вы наверное уже успели его скопировать. Попробуйте ещё раз.
скрипт, таки, выполнился.
карантин закачал
остальные рекомендации выполнил.
жду дальнейших указаний :)
ie_updates3r.exe-[B]Trojan-Downloader.Win32.Winlagons.bn[/B]
Вот этот файлик [B]iegm486.exe [/B]пришлите согласно приложению 2 правил.
Это ваш провайдер:
[CODE]Gabriel Ionita
Dial Telecom S.R.L.
Opera Center II, 2 Dr. Nicolae Staicovici Street
Bucharest 5
Romania
[/CODE]
Если нет,[URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAE7F23-943D-43DD-81B5-E3C2654756F7}: NameServer = 80.96.202.245
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0A6228-0E02-4DEB-93C4-AD46A03BD67B}: NameServer = 80.96.202.245
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A1ADA38-25A7-4700-B2F1-7B537E0BD9B5}: NameServer = 80.96.202.245
[/CODE]
Указанный файл на контакт идти отказался))
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\iegm486.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\iegm486.exe)
Карантин с использованием прямого чтения - ошибка
остальные строчки пофиксил.
еще логи? или уже можно вздохнуть с облегчением?
Поищите в этих директориях его ручками,найдете запакуйте в архив с паролем "virus" и пришлите по ссылке вверху страницы.
к сожалению данный файл в этих директориях не виден
в AVZ удалось найти только по маске IEGM486* следующий файл
C:\WINDOWS\Prefetch\IEGM486.EXE-08854AE9.pf
могу прислать его если он представляет интерес для науки.
Не понял?:)
ну нет такого файла,
видимо он прошел курсы шпионов и очень хорошо прячется))
Файл с расширением pf присылать не надо.
З.Ы. pf-файлы создаются Windows и существуют для быстрого доступа к часто запускаемым программам. Нужно прислать файл, на который ссылается pf-файл, но его, видимо, нет.
значит сей компьютер можно считать здоровым и готовым к приему новых экземпляров вредителей?))
Профиксите
[code]O4 - HKLM\..\Run: [advap32] "iegm486.exe"/r[/code]
Повторите virusinfo_syscheck.zip и hijackthis.log
сделано
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('iegm486.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог virusinfo_syscheck.zip
сделано
Подозрительного ничего в логах нет.
Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи и чистого Вам интернета ;)
спасибо огромное.
Остался еще одни вопрос: где можно научиться
разбираться в логах AVZ? а то очень обидно иметь такой инструментарий
и не понимать его ответы.
В моём кабинете подаёте заявку в студенты. Почитайте ещё это [url]http://virusinfo.info/showthread.php?t=15090[/url]