питомник зверья

сотрудник принес ноут на очистку.....
массу зверья прибить удалось самому с помощью cureIt и авз... после лечения комп стал через раз загружаться, зависает при попытки открыть "мой компьютер", после экрана приветствия появляется ошибка что не возможно найти файл worc.exe, и не накак не удоляется файл"brastk.exe"(точнее скрипт его убевает но после перезагрузки он сново на месте....)
так же в новых логах почемуто отсутствует хотя я не удалял.... странная запись в автозагрузке "exploree.exe work.exe" (до этого она в логах присуцтвовала)

сейчас меня на другую работу перебрасывают так что надежда только на вас , помогите пожалуйста...

ап

Совет: вешай тему в раздел, где обучаешься. Там пиши скрипт, а мы поможем, поправим.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\karna.dat','');
QuarantineFile('brastk.exe','');
QuarantineFile('mssql.exe','');
DeleteFile('mssql.exe');
DeleteFile('brastk.exe');
DeleteFile('C:\WINDOWS\system32\karna.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=41808[/url]

спасибо в будущем туда буду писать

Это зверье лучше через LiveCD чистить. Уж больно оно въедливое.

проблема после скрипта осталась.... после перезагрузки выбает ошибку (на скрине) и виснет при попыьте открыть "мой компьютер"
капантин выслал логи делаю
Файл сохранён как 090316_144053_virus_fotorama_49be3ac5b7f02.zip
Размер файла 1299795
MD5 1b022db398da455948e3cd9e984097b6

[QUOTE=PavelA;372434]Это зверье лучше через LiveCD чистить. Уж больно оно въедливое.[/QUOTE]

щас попробую др.веборский LiveCD скачать но боюсь скорость рабочего инета мне недаст это сделать......

новые логи
lavecd скачал щас неро ставлю буду с него пробовать ...

проверка с laveCD похоже затянется до утра :( пока не поскажете что там с карантином.... просто с прашивают чем они заразиться умудрились.....

Червяки, с флешек, Даунлоадеры в "Восст. системы", бэкдор, ну вообщем, разная пакость.
Но это еще не все, что вытащили.

[QUOTE]проверка с laveCD похоже затянется до утра [/QUOTE]
Нажми паузу, почисти System Volume Information, temp-папки и Temporary Internet files - сэкономишь время.

[QUOTE=Bratez;372542]Нажми паузу, почисти System Volume Information, temp-папки и Temporary Internet files - сэкономишь время.[/QUOTE]

это все почистил сразу после логов, вост. системы тоже выруби...
у меня проблема с laveCD(др.веборским) ...
его сканер находит 9 троянов.... причем 7 из них авз в логах не отображает....
праблема заключается в том что др.веб находить их находит но не удоляет :( пишет "write error" при попытке удолить ручками с помощю laveCD мс выдает рид онли..... подскажите что делать...
увы сейчас ноут вырублен и все пути файлов и их имена написать не могу, но сидят они 2 в windows\ оттальные в windows\system32\
из их имен могу нахвать C:\WINDOWS\karna.dat
C:\WINDOWS\av.exe
остальные имеют название чтото вроде TDSSS(ЧЕТО ТАМ 2или 3 знака), расширения у них dll, exe, sys, dat, еще и выжел C:\WINDOWS\system32\beep.sys(хотя его я удолял своими скриптами и из windows и из system32) .... чем мне их еще можно выловит, желательно их хостовой системы

п/с
вопрос не втему ответе если не сложно...
последний lavecd до этого момента я использовал еще в конце лехих девяностых, тогда он был собран из 98 винды....
сейчас др.вебер меня очень сильно шакировал тем что он склепан из линухи вроде даже убунты..... а я увы с unix системами очень не дружу.... так вот и сам вопрос... естьли насвете еще виндовые lavecd или для лечения лутьше учить линуху придется ??? просто с виндовой аболочкой мне по проще работать будет...

Ответ на второй вопрос: есть и много разных сборок, даже для флешек.

Tdss сноси свежим гмером

спасибо... попробую как время будет прибить что найду как закончу выложу новые логи

gmer не запускается :(
безопасный режим тоже :(
востановить безопасный режим с помощью авз не получилось.....

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

гмер после перезагрузки какимто образом запустился:)

лог гмера присылать?

гмер находит , удоляет но они всеравно востонавливаются..... я про TDSS

\systemroot\system32\drivers\TDSSmqlt.sys
system32\drivers\TDSSosvd.sys
TDSSserv.sys

File C:\WINDOWS\system32\TDSSrtqp.dll
File C:\WINDOWS\system32\TDSSxfum.dll
File C:\WINDOWS\system32\TDSSlxwp.dll
File C:\WINDOWS\system32\TDSSkkbi.log
File C:\WINDOWS\system32\TDSSproc.log

Вот вся пачка TDSS. Все это добро через Гмер удаляй.

tdss удалил .... посмотрите пожалуйста новые логи

up

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]

всели чисто?

Осталось профиксить:
[CODE]O20 - AppInit_DLLs: karna.dat[/CODE]
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин по ссылке.
Сделать лог Хиджака.

ура немного времени освободилось и смог сам посмотреть логи :)
такой вапросик как вы думаете такой скрипт поможет прибить зверье???
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
SetServiceStart('Beep', 4);
DeleteService('Beep');
QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
DeleteFile('C:\WINDOWS\karna.dat');
DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
DeleteFile('Beep.sys');
DeleteFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
больше всего меня валнует [B]Beep.sys[/B] и [B]karna.dat[/B] поскольку его я уже пытался их удалить оч много раз а они все еще живы.....

Павел спасибо за скрипт
кода постил сво пост не заметил что вы уже ответили........
но в вашем скрипте нет про beep.sys.... как мне от него избавиться?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

п/с выполняю ваш скрипт сейчас карантин и логи будут

карантин пуст :(
лог прилогаю

DeleteFile('Beep.sys'); не сработает, нужна директория.

Ты его на проверку пришли, через карантин AVZ.
Еще увидел
[CODE]O23 - Service: Windows Service Pack Installer update service (spupdsvc) - Unknown owner - C:\WINDOWS\system32\spupdsvc.exe (file missing)[/CODE]

еще вопрос про C:\WINDOWS\system32\iedkcs32.dll
авз на него ругается до этого на него ругался сканер доктор веба с laveCD....
вроде это нужный файл от ие.... что с ним делать?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=PavelA;374839]DeleteFile('Beep.sys'); не сработает, нужна директория.[/QUOTE]

а DeleteService('Beep');??? вроде если он грохнет сервес то и файл прибьет.... или я ошибаюсь?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

с помощью[B] поиска файлов на диске [/B] нашол его место.... system32\dllcache\beep.sys
может его грохнуть?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

сейчас скриптмком его попробовал прибить... и заново логи делаю .... но если он опять жив я уже не знаю что делать...

Это копия его в кеше сидит, а сам он должен быть в system32\drivers

beep.sys
Файл сохранён как 090320_154227_virus_49c38f332a5a2.zip
Размер файла 16197
MD5 926fb05166459dc802302481733dbfb7

C:\WINDOWS\system32\iedkcs32.dll - этот, скорее всего, чистый.

Надо сделать Гмером лог.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Твой beep.sys подмененный - Hacktool.rootkit по Симантеку. Если в dllcashe рамер у него другой, то надо будет заменить его.

[QUOTE=PavelA;374848]Это копия его в кеше сидит, а сам он должен быть в system32\drivers[/QUOTE]

В system32\drivers я его не нашол:(

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
BC_DeleteSvc('Beep');
DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Beep.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\Beep.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

логи повторить?

Конечно. Да, и сам ты сможешь увидеть в процессе выполнения скрипта удалилось или нет.

извените за задержку, просто времени небыло :(
вот новые логи вроде ни чего креминального нет

Профиксить:
[CODE]O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL (file missing)[/CODE]

F:\autorun.inf - это твое?

спасибо
да авторан мой:)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]136[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\antiviruspro2009\antiviruspro2009.exe - [B]Trojan.Win32.FraudPack.gwh[/B] ( DrWEB: Trojan.Fakealert.2088, BitDefender: Trojan.FakeAV.DM )[*] c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe - [B]not-a-virus:WebToolbar.Win32.MyWebSearch.au[/B] ( DrWEB: Adware.Websearch, BitDefender: Adware.Generic.31741 )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp540\a0220664.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221663.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221664.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221665.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221666.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222665.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222666.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233667.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233668.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233669.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233670.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233671.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233672.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\windows\brastk.exe - [B]Trojan-Downloader.Win32.Small.agdo[/B] ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )[*] c:\windows\system32\dllcache\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )[*] c:\windows\system32\drivers\beep.sys - [B]Backdoor.Win32.UltimateDefender.a[/B] ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )[*] c:\windows\system32\karna.dat - [B]Backdoor.Win32.Small.gjm[/B] ( DrWEB: Trojan.Proxy.1739, BitDefender: Backdoor.Agent.ZWW )[*] c:\windows\system32\_scui.cpl - [B]Trojan.Win32.FraudPack.gyi[/B] ( DrWEB: Trojan.Fakealert.2082, BitDefender: Trojan.FakeAlert.AOS )[*] f:\autorun.inf - [B]Worm.Win32.AutoRun.dmp[/B] ( DrWEB: Win32.HLLW.Autoruner.840, BitDefender: Trojan.Component.AI )[*] f:\printer.exe - [B]Worm.Win32.VB.el[/B] ( DrWEB: Trojan.Dafut, BitDefender: Worm.VB.NGS )[/LIST][/LIST]