Жесткий вирус

Printable View

02.05.2008, 11:49
Janik

Жесткий вирус

Поселился вирус, подозрение на x0rer, не могу загрузиться в безопасном режиме-синий экран смерти, блочит работу авз и HijackThis на этапе поиска руткитов, поэтому не могу прислать логи зараженного компьютера. Пожалуйста, напишите какой-то стандартный скрипт для убиения этой гадости. Система Windows XP Sp2, Два раздела жесткого диска(C:\, D:\). Спасибо.
02.05.2008, 12:16
kps

Зайдите в AVZ - Файл - Исследование системы. Нажмите на кнопку "Пуск". Сохраненный протокол прикрепите.
02.05.2008, 12:27
Janik

Вложений: 1

Виснет, если оставить включенными галки "Запущенные процессы, библиотеки процессов, порты TCP\UDP". Отключил эти пункты, протокол прилагаю.
02.05.2008, 12:31
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=22358[/url] ).

После этого сделайте нормальные логи по правилам. Если не получится - то в безопасном режиме. Безопасный режим заработал?
02.05.2008, 12:39
Janik

Прислал карантин, сейчас попробую загрузиться в безопасном режиме и сделать логи.
02.05.2008, 12:44
kps

А в обычном не получается до сих пор?
02.05.2008, 12:45
Janik

В обычном не получается, в безопасный до сих пор синий экран.
02.05.2008, 12:48
kps

hockey.pif это переименованный IceSword.
Скачайте отсюда:
[url]http://www.megaupload.com/?d=AUGYD37C[/url]

Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.

Плюс сделайте еще такой же лог AVZ, как в посте номер 3.

и скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
02.05.2008, 12:50
Janik

Если можно, не на мегааплоад, а то у меня не инсталится тулбар, а без него не могу скачать файл.спасибо.
02.05.2008, 12:56
kps

C:\WINDOWS\svchost.exe - [b]Trojan-Dropper.Win32.Small.apl
[/b]
C:\WINDOWS\system32\dnsq.dll - [b]Virus.Win32.Xorer.ee[/b]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Сделайте логи по правилам, если не получится, то в безопасном режиме, если и он не работает, то новый лог AVZ, как в посте номер 3.
IceSword уже наверно не понадобится.
02.05.2008, 12:58
Janik

Вложений: 1

Сейчас буду пробовать, пока прикреплю лог от гмера.
02.05.2008, 13:07
Janik

Вложений: 1

Синий экран в безопасном, виснет авз в обычном. Сделал еще раз логи, как в сообщении 3
02.05.2008, 13:10
kps

Gmer нашел зверя.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Попробуйте сделать логи по правилам, если не получится, то в безопасном режиме, если и он не работает, то новый лог AVZ, как в посте номер 3.
02.05.2008, 13:18
Janik

Вложений: 1

Все по-старому, высылаю новый лог.
02.05.2008, 13:30
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\NetApi00.sys');
DeleteFile('C:\037589.log');
DeleteFile('C:\AUTORUN.INF');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFileMask('c:\', 'lsass.exe.*', false);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Пришлите новый карантин.
Попробуйте сделать логи по правилам, не получится - как и прежде лог.
02.05.2008, 21:03
Janik

Вложений: 1

Все по-старому, высылаю новый лог и карантин.
02.05.2008, 21:15
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\pagefile.pif');
DeleteFile('d:\pagefile.pif');
DeleteFile('C:\NetApi00.sys');
DeleteFile('D:\NetApi00.sys');
DeleteFile('C:\037589.log');
DeleteFile('C:\AUTORUN.INF');
DeleteFile('d:\AUTORUN.INF');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('D:\WINDOWS\system32\com\smss.exe');
DeleteFile('D:\WINDOWS\system32\com\netcfg.000');
DeleteFile('D:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('D:\WINDOWS\system32\com\lsass.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFileMask('d:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFile('D:\WINDOWS\system32\dnsq.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(10);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Попробуйте сделать логи по правилам, не получится - как и прежде лог.
02.05.2008, 21:21
Janik

Вложений: 1

Все по-старому, высылаю новые логи и карантин.
02.05.2008, 21:25
kps

Пункт 2 правил Вы выполняли (полная проверка CureIt!'ом) ?

Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
02.05.2008, 21:43
Janik

Пункт 2 выполнял, только не в безопасном режиме(понятно почему) и не с защищенного от записи носителя, он находит вирусы, вроде как удалят, но сам завершает работу(я так понимаю, его блочит вирус).
IceSword тоже завершает работу сразу, пытался переименовывать в hockey.pif, ничего не вышло.

Обновлено: выполнил проверку cureit с сд-болванки, находит вирусы и вроде как удаляет, но сам при этом вылетает, при следующей проверке так же.
02.05.2008, 21:53
kps

Вот такой IceSword
[url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]
заспукается?
Можете прикрепить лог лечения CureIt!, которым Вы уже проверяли?

Попробуйте записать CureIt! на CD на чистом компьютере (распакуйте - это обычный SFX-архив). На больном компьютере запустите его и пролечите компьютер.

И еще зайдите в Gmer сначала на закладку Processes и завершите процесс, если есть C:\WINDOWS\system32\com\smss.exe, потом на закладку Files и удалите файлы: C:\WINDOWS\system32\dnsq.dll и C:\WINDOWS\system32\com\smss.exe, затем сразу запустите AVZ и попрбуйте сделать логи по правилам.
02.05.2008, 22:02
Janik

IceSword пишет Failed to create empty document, CureIt не создает логи, а Гмер убивает процесс, но он тут же появляется и я не успеваю удалить файлы и запустить авз на проверку.
02.05.2008, 22:07
kps

А если попробовать сделать полную проверку самой свежей версией [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. Еще попробуйте сделать лог AVPTool [url]http://avptool.virusinfo.info/ru/AVPTool_manual.htm[/url]

P.S. А в каких файлах CureIt! находит вирусы?
02.05.2008, 22:15
Janik

CureIt находит в тех файлах, которые вы выше писали в скриптах+еще один по адресу C:\WINDOWS\System32\drivers\alg.exe
Если выполнять полную проверку в CureIt,выбивает синий экран и перезагружает комп.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

AVP моментально выбивает, в процессах только видно.
02.05.2008, 22:18
kps

Попробуйте такой скрипт в AVZ:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\pagefile.pif');
DeleteFile('d:\pagefile.pif');
DeleteFile('C:\NetApi00.sys');
DeleteFile('D:\NetApi00.sys');
DeleteFile('C:\037589.log');
DeleteFile('C:\AUTORUN.INF');
DeleteFile('d:\AUTORUN.INF');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('D:\WINDOWS\system32\com\smss.exe');
DeleteFile('D:\WINDOWS\system32\com\netcfg.000');
DeleteFile('D:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('D:\WINDOWS\system32\com\lsass.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFileMask('d:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFile('D:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
02.05.2008, 22:22
Janik

Не помогло, файлы вируса все на своих местах. Попробую на незараженном компьютере записать CureIt и проверить.
02.05.2008, 22:28
kps

А если такой скрипт в AVZ:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\WINDOWS\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE');
DeleteFile('C:\WINDOWS\system32\wpcap.dll');
DeleteFile('C:\WINDOWS\system32\packet.dll');
DeleteFile('C:\WINDOWS\system32\com\NetApi00.sys');
DeleteFile('C:\pagefile.pif');
DeleteFile('d:\pagefile.pif');
DeleteFile('C:\NetApi00.sys');
DeleteFile('D:\NetApi00.sys');
DeleteFile('C:\037589.log');
DeleteFile('C:\AUTORUN.INF');
DeleteFile('d:\AUTORUN.INF');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFileMask('d:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Если не получится, запишите имена и пути к файлам, в которых CureIt! находит вирус.
02.05.2008, 22:43
Janik

Не помогло
C:\Windows\system32\com\lsass.exe,netcfg.dll,smss.exe
C:\Windows\system32\dnsq.dll
Не могу больше находится за зараженнім компьютером сегодня, зайду завтра. спасибо за терпение и поддержку.
02.05.2008, 22:48
kps

Ну завтра попробуем его одолеть. Название темы Вы выбрали правильно, вирус действительно жесткий :)
22.02.2009, 05:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan-Dropper.Win32.Small.apl[/B] (DrWEB: Trojan.MulDrop.4181)[*] c:\\windows\\system32\\dnsq.dll - [B]Virus.Win32.Xorer.ee[/B] (DrWEB: Win32.HLLP.Rox)[/LIST][/LIST]

Текущее время: 21:06. Часовой пояс GMT +3.

Page generated in 0.01096 seconds with 10 queries