1.Подменяется e-gold аккоунт обменника на хакерский в sci форме при обмене
e-golda в автообменниках
2.По логам фаервола происходит постоянное обращение по TCP
на 200.115.171.170.
3. часто виснет IE
Заранее спасибо
Printable View
1.Подменяется e-gold аккоунт обменника на хакерский в sci форме при обмене
e-golda в автообменниках
2.По логам фаервола происходит постоянное обращение по TCP
на 200.115.171.170.
3. часто виснет IE
Заранее спасибо
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/URL]
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll
' ,'');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать карантин после перезагрузки согласно приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] .
+ лог-файл boot_clr.log из директории AVZ
Это не лечение, это только анализ.
[quote=PavelA;106432][URL="http://virusinfo.info/showthread.php?t=7239"]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/URL]
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll
' ,'');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин после перезагрузки согласно приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] .
+ лог-файл boot_clr.log из директории AVZ
Это не лечение, это только анализ.[/quote]
Пишет ошибка в 4.16
Опечатка. Прывильный скрипт: [code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
[quote=Numb;106441]Опечатка. Прывильный скрипт: [code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','' );
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantinelist;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code][/quote]
Выполнил:карантин гигантский получился 2.512k -залил через ссылку"прислать запрошенные файлы"
Вверху см. ссылку
залил
По симантеку ;) Infostealer.Banker.c ntos.exe и все tmp из директории TEMP
В безопасном режиме выполнить скрипт.
[CODE]
begin
ClearQuarantine();
SetAVZGuardStatus(True);
QuarantineFile('tphklock.dll','');
QuarantineFile('notifyf2.dll','');
BC_DeleteFile('C:\temp\*.*');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
После перезагрузки прислать boot_clr.log и если что-то попадет в карантин.
что значит удалить с shift?
Это когда в проводнике удаляешь, то нажимаешь правую клавишу мыши, выбираешь удалить и держишь нажатой клавишу "Shift"
Я попробовал это в скрипте сделать. Проверим как это сработает.
Не пускается:
too many aktual parametrs в позиции 7-12
поправил. Никак не возьму в голову привычку проверять скрипт перед отправкой.
[quote=PavelA;106475]поправил. Никак не возьму в голову привычку проверять скрипт перед отправкой.[/quote]
запустил
В карантин, кроме ini-файлов что-то попало?
Чистим директорию Temp ручками.
Делаем лог hijackThis.
[quote=PavelA;106483]В карантин, кроме ini-файлов что-то попало?
Чистим директорию Temp ручками.
Делаем лог hijackThis.[/quote]
Только ini-файлы
temp очистил
ломиться на 200.115.171.170
перестало
уже чисто.
а это ваши ? :
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC0A6C5-3BE2-471F-A781-E3EF454D8FA5}: NameServer = 81.25.32.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC238D73-6318-4877-9E82-524267973958}: NameServer = 81.25.32.34,81.25.32.9
[quote=drongo;106536]уже чисто.
а это ваши ? :
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FC0A6C5-3BE2-471F-A781-E3EF454D8FA5}: NameServer = 81.25.32.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC238D73-6318-4877-9E82-524267973958}: NameServer = 81.25.32.34,81.25.32.9[/quote]
не знаю:
в локальной сети дали:
Предпочитаемый DNS - 81.25.32.34
Альтернативный DNS - 81.25.32.9
Вот это непорядок. Д.б. только userinit.exe с запятой. Не совсем уверен, что это можно в Hijack профиксить.
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/CODE]
[quote=PavelA;106569]Вот это непорядок. Д.б. только userinit.exe с запятой. Не совсем уверен, что это можно в Hijack профиксить.
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/code][/quote]
пофиксил
теперь порядок?
P.S.
Всем большое спасибо и удачи
Остался еще загадочный файл [B]notifyf2.dll[/B], который упорно уклоняется от карантинизации :) Попробуйте разыскать его вручную (см. приложение 2 правил).
[quote=Bratez;106803]Остался еще загадочный файл [B]notifyf2.dll[/B], который упорно уклоняется от карантинизации :) Попробуйте разыскать его вручную (см. приложение 2 правил).[/quote]
не получается:попытка прямого чтения-не удаётся поместить в карантин-ошибка прямого чтения
Т.е., файлик действительно существует? Попробуйте перед попыткой поместить в карантин выполнить стандартный скрипт #1 (антируткит). Если не поможет, сделайте то же самое в безопасном режиме.
[QUOTE=Bratez;106816]Попробуйте перед попыткой поместить в карантин выполнить стандартный скрипт #1 (антируткит). Если не поможет, сделайте то же самое в безопасном режиме.[/QUOTE]
А если совсем не получится - то расслабьтесь и попейте пива ;) [url]http://www.castlecops.com/o20list-201.html[/url]
[quote=Rene-gad;106818]расслабьтесь и попейте пива ;) [URL]http://www.castlecops.com/o20list-201.html[/URL][/quote]
Спасибо! Погуглить мне, как всегда, было лень, а интуиция на этот раз подвела :)
@pavel77: Отбой, ложная тревога! Выполняйте совет [B]Rene-gad[/B] :beer:
[quote=Rene-gad;106818]А если совсем не получится - то расслабьтесь и попейте пива ;) [URL]http://www.castlecops.com/o20list-201.html[/URL][/quote]
так у меня ноут ibm
это его файлик?
[QUOTE=pavel77;106828]так у меня ноут ibm это его файлик?[/QUOTE]Correct :thumbsup:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]56[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\a.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\b.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\c.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\d.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1a.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1b.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1d.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1e.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1f.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\1.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\11.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\15.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\16.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\17.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\18.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\19.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\2.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\25.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\3.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\30.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\31.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\4.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\47.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\5.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\6e.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\6.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\7d.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\7.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[*] c:\\windows\\temp\\8.tmp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.1724)[/LIST][/LIST]