Звери

Printable View

12.05.2009, 15:54
ПblBO

Звери

AVZ не запускается, установленный нод не видит нечего, каспер с другой машины тоже почему-то нечего не нашел, веб также молчит. toto.pif не проверяет открытые порты на вредоносное ПО (ошибка)
Куда toto после выполнения скрипта на запрос к вам (вирус.инфо) скидывает свой лог? Скрипт выполнил а где взять файлик нинаю )))
12.05.2009, 15:59
Bratez

Должна была создаться папка LOG.
12.05.2009, 16:03
ПblBO

Спасиб, вот.
12.05.2009, 16:08
Bratez

Выполните скрипт:
[CODE]begin
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
QuarantineFile('C:\DOCUME~1\Mon\LOCALS~1\Temp\er11196187.exe','');
DeleteFile('C:\DOCUME~1\Mon\LOCALS~1\Temp\er11196187.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ids0005c');
BC_DeleteSvc('ids00026');
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После перезагрузки сделайте новые логи.
12.05.2009, 16:45
ПblBO

вот
13.05.2009, 06:21
ПblBO

темке АП
13.05.2009, 09:08
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\Mon\LOCALS~1\Temp\er11196187.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[/code]
Больше ничего плохого не вижу.
13.05.2009, 10:05
ПblBO

Спасибо, попробую. Изначальная суть задачи была в том что трафик исходящий есть - входящий чем-то блокирован. Т.е ИЕ запрос отправляет ответа ожидает до бесконечности, Бат письма отправляет - не получает.
13.05.2009, 10:47
ПblBO

пофиксил
13.05.2009, 11:37
Bratez

У вас некий прокси-сервер прописан:
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.66.1:3128[/CODE]
Это так и надо?
Если не знаете, попробуйте пофиксить эту строку в HijackThis и перезагрузиться.
13.05.2009, 14:02
ПblBO

Угук, машина получает инет через сервак.
13.05.2009, 14:29
PavelA

Выполнить:
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteService('ids0005c',true);
DeleteService('ids00026',true);
BC_ImportDeletedList;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторить логи для контроля.
13.05.2009, 16:00
ПblBO

вот
13.05.2009, 16:16
PavelA

Странно, но изменений после скрипта в логах не увидел.

sc delete ICF - в командной строке набрать и выполнить.
13.05.2009, 16:40
ПblBO

нечего не делал - но логи новые - может предыдущие напутал с старыми )))
13.05.2009, 16:44
PavelA

sc delete ICF - выполнить в командной строке.
13.05.2009, 17:02
ПblBO

[SC] DeleteService SUCCESS
13.05.2009, 17:22
ПblBO

после удаления.
13.05.2009, 17:31
Bratez

Ничего плохого в логах.
Сдается мне, все же ваш проксик виноват.
13.05.2009, 17:39
ПblBO

Хм. спасибо, будем посмотреть.

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

C:\WINDOWS\system32\svchost.exe:exe.exe'
а вот это что было?
13.05.2009, 18:40
PavelA

Это остатки зверька не до конца удаленного.

Пара файликов от Касперского еще в логах болтается. При желании можно удалить в реестре записи об них
15.05.2009, 11:11
ПblBO

На этом компьютере был обнаружен вирус - который не видит не одна из антивир. систем
C:\Documents and Settings\имю_юзера\Local Settings\jyf.onr (jyf.onr - файл с рандомным именем, с рандомным расширением)
Также вторая часть этого вируса C:\WINDOWS\system32\sqlsodbc.chm - файл весил более 1мб - хотя реальный файл должен быть менее 50кб
Удаляется руками в безопаске.
Это было выяснено в процесе работы этого компа - не знаю был ли этот вирус до включения его в сеть, но вирус блокирует трафик - как было изначально. + спамит во всю.
15.05.2009, 11:40
PavelA

Надо будет полиморфным AVZ логи сделать, может там еще что-то есть.
А лучше полную проверку AVPTool.
15.05.2009, 12:20
ПblBO

простой авз не стартовал на той машине изначально, по этому начал чистить полиморфным.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Эта машина которую чистили сейчас работает норм, после удаления выше описанного вируса. Но в этой лок.сети появился еще один комп с темиже признаками (вируса с рандомным файлом)- удаление руками не помогло - видимо не до конца нашел остатки зверей. КАВ9 - нашел на втором компе Trojan.Win32.Agent.cglu - немогу найти на него описания - что он делает - и где кишки свои хранит. (((

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

так-же этот замечательный вирус следит за exe файлами типо тотал командера, cmd, regedit, - при попытке их запуска перезапускает эксплоер - т.е проги не стартуют - помогает изменение название exe файла.
15.05.2009, 13:24
Bratez

Сделайте лог той версией, что у Павла в подписи.
15.05.2009, 14:14
PavelA

У меня там м.б. не самая последняя версия :(
20.05.2009, 08:59
ПblBO

Уже не стал с ним развлекаться - переставил винду. Сурово, но быстро. ))))