помогите избавиться от трояна

Printable View

03.08.2009, 13:07
коржик

Вложений: 2

помогите избавиться от трояна

Часто выскакивают ошибки. Висят подозрительные процессы.
все сделал по инструкции.
CureIt нашел 4 файла и удалял их.
Процессы остались.
03.08.2009, 13:20
thyrex

virusinfo_cure.zip из вложений убрать! Нужен файл virusinfo_[B]sys[/B]cure.zip

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
DeleteService('nicsk32');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
SetServiceStart('netsik', 4);
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
TerminateProcessByName('c:\windows\system32\sysmgr.exe');
QuarantineFile('c:\windows\system32\sysmgr.exe','');
TerminateProcessByName('c:\windows\msudp32.exe');
QuarantineFile('c:\windows\msudp32.exe','');
TerminateProcessByName('c:\windows\system32\ms18_word.exe');
QuarantineFile('c:\windows\system32\ms18_word.exe','');
TerminateProcessByName('c:\documents and settings\user\ms18_word.exe');
QuarantineFile('c:\documents and settings\user\ms18_word.exe','');
DeleteFile('c:\documents and settings\user\ms18_word.exe');
DeleteFile('c:\windows\system32\ms18_word.exe');
DeleteFile('c:\windows\msudp32.exe');
DeleteFile('c:\windows\system32\sysmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.08.2009, 17:25
коржик

Вложений: 2

сделал
05.08.2009, 19:52
Rene-gad

[QUOTE=thyrex;441975]Нужен файл virusinfo_[B]sys[/B]cure.zip [/QUOTE]???
06.08.2009, 23:04
коржик

Вложений: 1

сделал
06.08.2009, 23:12
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\ms18_word.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
DeleteService('amd64si');
TerminateProcessByName('c:\windows\system32\wshost32.exe');
QuarantineFile('c:\windows\system32\wshost32.exe','');
TerminateProcessByName('c:\windows\system32\spooisv.exe');
QuarantineFile('c:\windows\system32\spooisv.exe','');
TerminateProcessByName('c:\windows\msconfigs.exe');
QuarantineFile('c:\windows\msconfigs.exe','');
TerminateProcessByName('c:\windows\system32\hp32_nword.exe');
QuarantineFile('c:\windows\system32\hp32_nword.exe','');
TerminateProcessByName('c:\documents and settings\user\hp32_nword.exe');
QuarantineFile('c:\documents and settings\user\hp32_nword.exe','');
DeleteFile('c:\documents and settings\user\hp32_nword.exe');
DeleteFile('c:\windows\system32\hp32_nword.exe');
DeleteFile('c:\windows\msconfigs.exe');
DeleteFile('c:\windows\system32\spooisv.exe');
DeleteFile('c:\windows\system32\wshost32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\Documents and Settings\NetworkService\ms18_word.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
07.08.2009, 09:26
коржик

Вложений: 2

Результат загрузки
Файл сохранён как 090807_092607_virus2_4a7bbaefe543a.zip
Размер файла 463357
MD5 0e09870ea71680319d271c28d4241693
Файл закачан, спасибо!
07.08.2009, 11:26
thyrex

Диск с дистрибутивом имеется?

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msconfigs.exe','');
SetServiceStart('port135sik', 4);
DeleteService('port135sik');
SetServiceStart('nicsk32', 4);
DeleteService('nicsk32');
SetServiceStart('i386si', 4);
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('msconfigs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
07.08.2009, 11:35
коржик

[QUOTE=thyrex;444431]Диск с дистрибутивом имеется?[/QUOTE]
Вы имеете в ввиду Windows? За дистрибутив текущей установки не уверен. Другой дистрибутив найдем.
07.08.2009, 12:22
thyrex

Шлите последний карантин
08.08.2009, 10:03
коржик

Вложений: 2

Компьютер сам не перегрузился, и никак не хотел перегружаться кроме как по кнопке RESET.

Результат загрузки
Файл сохранён как 090808_095911_virus4_4a7d142fa7768.zip
Размер файла 419639
MD5 a5a8c9b95938002447b805590a1fc05f
Файл закачан, спасибо!
08.08.2009, 10:54
thyrex

Файл [COLOR="Red"]C:\WINDOWS\system32\Drivers\Ntfs.sys[/COLOR] заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в [URL="http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10"]консоли восстановления[/URL]
- На приглашение введите строку:
[CODE]copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys[/CODE]
Вместо Х подставьте букву драйва, где лежит дистрибутив.
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knpoppix etc.) или с установкой диска в другой ПК.

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
09.08.2009, 12:34
коржик

консоль восстановления не нашел на диске с дистрибутивом. Видимо какая то сборка.
Поставил рядом другую винду и уже из под нее удалил Ntfs.sys из старой винды и заменил файлом из новой, так пойдет?
09.08.2009, 12:40
thyrex

Пойдет

Новые логи теперь делайте
09.08.2009, 20:31
коржик

Вложений: 2

сделал
09.08.2009, 23:24
thyrex

Пофиксить в HiJack
[code] R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [wshost32] C:\WINDOWS\system32\wshost32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteService('port135sik');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\700.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\700.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\700.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3122361550-0467662055-568212216-6700\csvcs.exe');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('c:\docume~1\user\locals~1\temp', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

В файле hosts удалите все, что не Ваше

Сделайте новые логи (все три файла)
11.08.2009, 07:56
коржик

Вложений: 2

сделал
11.08.2009, 09:31
thyrex

[QUOTE='thyrex;446033']В файле hosts удалите все, что не Ваше[/QUOTE]Переформулирую вопрос - [B]в файл hosts вносили изменения сами?[/B]
Кроме антивирусных сайтов, доступ к которым у Вас блокируется в данное время, могут быть нужные Вам записи.
11.08.2009, 11:07
коржик

упс, извините про hosts совсем забыл - с ним ничего не делал
кроме этого, все чисто?
11.08.2009, 11:13
Rene-gad

Выполните скрипт в AVZ
[code]begin
SetAVZGuardStatus(True);
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог по п.2 Диагностики.
11.08.2009, 21:52
коржик

Вложений: 1

сделал.
а что был за вирус?
11.08.2009, 22:05
Rene-gad

В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader

[QUOTE=коржик;447168]а что был за вирус?[/QUOTE]
Какой именно файл?
[QUOTE]C:\WINDOWS\system32\drivers\i386si.sys- Rootkit.Win32.HareBot.bq
C:\WINDOWS\system32\drivers\nicsk32.sys -Rootkit.Win32.HareBot.bq
C:\Documents and Settings\NetworkService\ms18_word.exe-Trojan.Win32.Agent2.kzp
c:\documents and settings\user\hp32_nword.exe -Trojan-Dropper.Win32.Agent.aywe
c:\windows\msconfigs.exe -Trojan.Win32.Buzus.brqs
c:\windows\system32\spooisv.exe-Backdoor.Win32.Nepoe.jr
c:\windows\system32\wshost32.exe-Trojan.Win32.VB.ubu
C:\RECYCLER\S-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe -Trojan.Win32.Danilko.a
c:\windows\msudp32.exe -Backdoor.Win32.SdBot.odi

C:\WINDOWS\system32\drivers\acpi32.sys, C:\WINDOWS\system32\drivers\ati64si.sys, C:\WINDOWS\system32\drivers\i386si.sys, C:\WINDOWS\system32\drivers\netsik.sys, C:\WINDOWS\system32\drivers\nicsk32.sys, C:\WINDOWS\system32\drivers\systemntmi.sys-Rootkit.Win32.HareBot.bb

c:\windows\system32\sysmgr.exe -Trojan.Win32.Refroso.cfc [/QUOTE]
11.08.2009, 22:11
light59

Ничего так наборчик :) И ведь все звери разные.
Где вы их только собираете...
12.08.2009, 09:32
коржик

это не я - это тесть :)
всем большое спасибо за ваш труд!
12.08.2009, 11:39
Rene-gad

[QUOTE=коржик;447332]это не я - это тесть :)
[/QUOTE]Распечатайте и дайте ему почитать: [url]http://virusinfo.info/showthread.php?t=30339[/url] 8)
13.08.2009, 11:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]72[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\networkservice\ms18_word.exe - [B]Trojan.Win32.Agent2.kzp[/B] ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Downloader.Cutwail.L )[*] c:\documents and settings\user\hp32_nword.exe - [B]Trojan-Dropper.Win32.Agent.aywe[/B] ( DrWEB: Trojan.MulDrop.33201, BitDefender: Trojan.Downloader.Cutwail.L )[*] c:\documents and settings\user\ms18_word.exe - [B]Trojan.Win32.Agent2.kzp[/B] ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Downloader.Cutwail.L )[*] c:\recycler\s-1-5-21-8942275032-1420502524-989085791-0986\csvcs.exe - [B]Trojan.Win32.Danilko.a[/B] ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Backdoor.IRCBot.ACTN )[*] c:\windows\msconfigs.exe - [B]Trojan.Win32.Buzus.brqs[/B] ( DrWEB: BackDoor.IRC.Sdbot.945, NOD32: IRC/SdBot trojan )[*] c:\windows\msudp32.exe - [B]Backdoor.Win32.SdBot.odi[/B] ( DrWEB: BackDoor.IRC.Bot.122, BitDefender: Trojan.Generic.2233349, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\drivers\acpi32.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\amd64si.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\ati64si.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\i386si.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\i386si.sys - [B]Rootkit.Win32.HareBot.bq[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cq!fw5p, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\ksi32sk.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\netsik.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\nicsk32.sys - [B]Rootkit.Win32.HareBot.bq[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cq!fw5p, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\nicsk32.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\drivers\ntfs.sys - [B]Virus.Win32.Protector.c[/B] ( DrWEB: BackDoor.Bulknet.404, BitDefender: Gen:Rootkit.Heur.LmW@fuO9zti )[*] c:\windows\system32\drivers\systemntmi.sys - [B]Rootkit.Win32.HareBot.bb[/B] ( DrWEB: Trojan.NtRootKit.3159, BitDefender: Gen:Rootkit.Heur.cuW@cmDZ85m, NOD32: Win32/TrojanDownloader.Wigon.BS trojan )[*] c:\windows\system32\hp32_nword.exe - [B]Trojan-Dropper.Win32.Agent.aywe[/B] ( DrWEB: Trojan.MulDrop.33201, BitDefender: Trojan.Downloader.Cutwail.L )[*] c:\windows\system32\ms18_word.exe - [B]Trojan.Win32.Agent2.kzp[/B] ( DrWEB: Trojan.MulDrop.33181, BitDefender: Trojan.Downloader.Cutwail.L )[*] c:\windows\system32\spooisv.exe - [B]Backdoor.Win32.Nepoe.jr[/B] ( DrWEB: BackDoor.IRC.Sdbot.945, BitDefender: Backdoor.IRCBot.ACTN, NOD32: IRC/SdBot trojan )[*] c:\windows\system32\sysmgr.exe - [B]Trojan.Win32.Refroso.cfc[/B] ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Backdoor.Bot.103662, NOD32: Win32/TrojanProxy.Agent.NEL trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\wshost32.exe - [B]Trojan.Win32.VB.ubu[/B] ( DrWEB: Trojan.DownLoad.42354, BitDefender: Adware.BrowseIT.A, NOD32: Win32/VB.OKA trojan )[/LIST][/LIST]