расадник зверей

Доброго времени суток всем! мне сейчас принесли жесткий диск загаженый сворой зловредов..... Этот хард я пришпандорил к своему рабочему компу НОД оборался при сканировании щас я вам выслал архивчик с карантином.... логи из АВЗ в скором времени тоже прилеплю а из [B][U][COLOR=#22229c]HijackThis[/COLOR][/U][/B] помоемому лог слать смысла нет ведь он будет зделан из моей винды а не из инфецированой.... а пока можете сказать что там на ловилось и на мой взгляд половина не попала
Файл сохранён как070504_144032_virus.fotorama_463b0da08a9d3.zipРазмер файла159101MD5d81264f6d5c772558bc5fc0b54ce7fff

[QUOTE]я вам выслал архивчик с карантином....[/QUOTE]
Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.

[quote=Bratez;107727]Зачем? Если НОД их знает - пусть удаляет, интереса в них никакого, imho. Вот когда пролечите диск, верните его в родную систему, и уже там сделайте логи. Будет ясно, что еще доделать.[/quote]

нод не все их знает(
он выдал что 7 неопознаных(
кстате ктонибудь в курсе где находиться нодовский карантин????
он гад их в свой карантин увалок(
p/s
логи будут через 20 мин

[QUOTE]нод не все их знает(
он выдал что 7 неопознаных([/QUOTE]
Вот я и говорю - [B]пусть удалит то, что знает[/B]. А остальное по логам будем карантинить и разбираться.

[QUOTE=fotorama;107728]
кстате ктонибудь в курсе где находиться нодовский карантин????
[/QUOTE]
В папке General >Settings>Advanced >Quarantine ;)

[quote=Rene-gad;107736]В папке General >Settings>Advanced >Quarantine [/quote]
благодарю щас гляну если вам нужно могу преслать

а вот и логи из моей системы..... (ребят там вроде чето проскакивает из документов пользователя лисичкиной на это не оброщайте внимание)

В вашей системе (на диске C) ничего подозрительного, а вот система на диске D очевидно заражена серьезно.

Вот это добро поискать, в карантин и прислать.
Больше всего первый не понравился мне.

[CODE]D:\WINDOWS\system32\drivers\ip6fw.sys
D:\WINDOWS\system32\msdrives\msdrvctrl.exe
D:\WINDOWS\Temp\rspryolt.exe
D:\WINDOWS\msdrvctrl.exe
D:\t12eqweqw3.exe
[/CODE]

Кстати, думаю, что свежий Cure-It справился бы с этим и без нашей помощи.

[B]PavelA[/B], Вы прямо стихами пишите ;)

[QUOTE=PavelA;107746]Больше всего первый не понравился мне.[/QUOTE]
Да что ж тут может понравиться: [url]http://www.sophos.com/security/analyses/trojpushua.html[/url], Пушкин Вы наш :D

файл %SystemRoot%\system32\drivers\ip6fw.sys - имеет право на существование, как IPv6 Windows Firewall Driver , но AVZ на него ругаться не должен. Кстати, версия AVZ - старая, актуальная версия - 4.25

[quote=Numb;107750]Кстати, версия AVZ - старая, актуальная версия - 4.25[/quote]
сори чегото не глянул какая у него версия(
вот новые логи если надо то щас новой версией пройдусь и заного залью...
впринципе я комп кучей антивирей чистил но у меня еще остались подозрения о существование зверюшек (логи с его радной системы)

[QUOTE]вот новые логи если надо то щас новой версией пройдусь и заного залью...[/QUOTE]
Сделайте пожалуйста, анализировать будет намного легче.

Сразу скажу - подозрения ваши не напрасны!

[quote=Bratez;108312]Сделайте пожалуйста, анализировать будет намного легче.

Сразу скажу - подозрения ваши не напрасны![/quote]
все понел щас базу обнавлю и новые логи наделаю

Новые логи

До чего же их много! Давайте для начала вот так:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\abcdefgh.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp','');
QuarantineFile('windpy32.dll','');
QuarantineFile('v7.exe','');
QuarantineFile('c:\windows\system32\ldcore.dll','');
QuarantineFile('c:\DriverLoad\windrv0.exe','');
QuarantineFile('C:\windows\webal.exe','');
QuarantineFile('C:\windows\bfxtray.exe','');
QuarantineFile('C:\WINDOWS\System32\gqlpw32.dll','');
QuarantineFile('C:\WINDOWS\System32\dfme.dll','');
QuarantineFile('C:\WINDOWS\System32\Gojgbplm.dll','');
QuarantineFile('C:\Program Files\Common Files\winctl.dll','');
QuarantineFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe','');
QuarantineFile('ndisrd.sys','');
QuarantineFile('C:\WINDOWS\system32\windpy32.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\smpi1\bin.exe','');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\23247\explorer.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL');
DeleteFile('C:\WINDOWS\msdrvctrl.exe');
DeleteFile('c:\DriverLoad\windrv0.exe');
DeleteFile('C:\Program Files\NewDotNet\newdotnet6_38.dll');
DeleteFile('C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки - карантин и новые логи в студию :)

Папки C:\DriverLoad и C:\Program Files\NewDotNet после скрипта удалите полностью.

скрипт выполнил правдо похоже не все попало вот логи и карантин
Файл сохранён как/td> 070507_170337_virus.fotorama_463f23a9dfd93.zip
Размер файла1071235
MD57a3125c5dc18745836e9c53d561e56a3

'C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\ эту дерикторию очистил ручками.... хм странно вроде все TEMPы чистил а тут они остались .....

[B]C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt[/B]

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\windpy32.dll');
DelSPIbyFilename('abcdefgh.dll',true);
AutoFixSPI;
ClearHostsFile;
BC_DeleteFile('C:\WINDOWS\system32\windpy32.dll');
BC_DeleteFile('C:\WINDOWS\System32\lzx32.sys');
BC_DeleteFile('C:\WINDOWS\System32\abcdefgh.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если нарушится связь с интернетом, используйте AVZ - восстановлние системы - п.14 - перезагрузка, если не помогло - п.15 - перезагрузка.

Карантин ДрВеба удалите
C:\Documents and Settings\Руслан\DoctorWeb\Quarantine

Это не все, пока смотрю дальше.

[quote=Bratez;108363][B]C:\WINDOWS\System32\windpy32.dll - Trojan.Win32.Agent.qt[/B]

Выполните такой скрипт:

Это не все, пока смотрю дальше.[/quote]
благодарю за скрипт все выполнил вот только проверить пропал ли инет иль нет пока не смогу..... просто к рабочей сетке я побаеваюсь заразную машину подрубать..... но востонавление всеравно для профилактики проделал:)

Пофиксите в HijackThis эти строки:
[code]
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll (file missing)
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\Program Files\Mass Downloader\MDHELPER.DLL (file missing)
O2 - BHO: (no name) - {F5938714-BD46-408A-9842-4058206D37E3} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\DOCUME~1\РУСЛАН\LOCALS~1\Temp\~00754.tmp (file missing)
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - Global Startup: Instant Update Reminder.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -
O20 - Winlogon Notify: windpy32 - C:\WINDOWS\SYSTEM32\windpy32.dll
O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\
O21 - SSODL: 0DBGBCDJ - {142A7AEF-2563-3E2F-4E00-67DE76824D49} - (no file)
O21 - SSODL: mtklefap - {333C787E-2EF3-4B7C-D3AC-9FAD6D463B60} - C:\WINDOWS\System32\gqlpw32.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\System32\Gojgbplm.dll (file missing)
O21 - SSODL: WinCTL - {009541A0-3B00-1F1C-00F3-040224009C02} - C:\Program Files\Common Files\winctl.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\System32\dfme.dll (file missing)
[/code]

Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления или с LiveCD.

Работайте, пока еще разбираюсь с карантином.

В куче пропустил кое-что, а некоторые уклонились от карнтина.
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll','');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');
RebootWindows(true);
end.[/code]
Потом постарайтесь разыскать (AVZ - Поиск файлов на диске) эти и добавить в карантин:
[B]C:\windows\bfxtray.exe
C:\windows\webal.exe
c:\windows\system32\ldcore.dll
v7.exe[/B]
после чего загрузите карантин по правилам.

А из первого карантина еще двое зловредов выявилось.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\smpi1\bin.exe');
BC_DeleteFile('c:\windows\system32\smpi1\bin.exe');
BC_DeleteSvc('ndisrd.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку :)

[quote=Bratez;108376]Логи пока делать не надо, жду второй карантин.
Ух! Пора на перекур, а то уже уши в трубочку :)[/quote]
благодарю за скрипты карантин пока выслать не могу насителя нет( а к сети такой комп подключать мне не кто не даст

QuarantineFile('C:\WINDOWS\System32\dnsersnd.dll','');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');этого файла на диски нету

QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe',''); этот фай в какрантин лезть не захотел(((( я его отдельным архивом пришлю
QuarantineFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe','');папки этой тоже нет
[B]C:\windows\bfxtray.exe[/B]
[B]C:\windows\webal.exe[/B]
[B]c:\windows\system32\ldcore.dll[/B]
[B]v7.exe этих файлов тоже не через авз не через поиск не нашол[/B]

C:\WINDOWS\System32\spoolsvv.exe не нашол такого файла зато нашол C:\WINDOWS\System32\spoolsvv.sys

а вот и карантин
Файл сохранён как/td> 070508_091048_virus.fotorama_464006581d31c.zip
Размер файла 47773
MD5 f075fc9aa7c8a99ac3b89a48ef222094

а вот и ответ от вирус тотал
C:\WINDOWS\System32\spoolsvv.sys
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю
AhnLab-V32007.5.8.005.07.2007 no virus found
[B]AntiVir7.4.0.1505.07.2007TR/Rootkit.Gen[/B]
Authentium4.93.805.07.2007 no virus found
Avast4.7.997.005.07.2007 no virus found
[B]AVG7.5.0.46705.07.2007I-Worm/Generic.BFU[/B]BitDefender7.205.08.2007Trojan.Peed.NH
CAT-QuickHeal9.0005.07.2007 no virus found
ClamAVdevel-2007041605.07.2007 no virus found
DrWeb4.3305.07.2007 no virus found
eSafe7.0.15.005.07.2007 no virus foun
[B][B]deTrust-Vet30.7.361605.07.2007Win32/Tibs[/B]
Ewido4.005.07.2007Worm.Zhelatin.dnFile[/B]
Advisor105.08.2007 No threat detected
Fortinet2.85.0.005.08.2007suspicious
F-Prot4.3.2.4805.07.2007 no virus found
[B][B]F-Secure6.70.13030.005.08.2007Email-Worm.Win32.Zhelatin.dnIkarus[/B]
T3.1.1.705.08.2007Email-Worm.Win32.Zhelatin.dn[/B][B]
Kaspersky4.0.2.2405.08.2007Email-Worm.Win32.Zhelatin.dn[/B]
McAfee502505.07.2007 no virus found
Microsoft1.250305.07.2007 no virus found
NOD32v2224805.07.2007 no virus found
[B]Norman5.80.0205.07.2007W32/Tibs.AFVM
Panda9.0.0.405.07.2007W32/Spamta.XA.worm[/B]
Prevx1V205.08.2007Malicious
Sophos4.17.005.07.2007 no virus found
[B]Sunbelt2.2.907.005.05.2007FiveSec.Spam.Agent.vx[/B]Symantec1005.08.2007 no virus found
TheHacker6.1.6.10805.06.2007 no virus found
VBA323.11.405.07.2007 no virus found
VirusBuster4.3.7:905.07.2007 no virus found
[B]Webwasher-Gateway6.0.105.08.2007Trojan.Rootkit.Gen[/B]
я его ужо ручками удалил
да кстате в тойже папке есть еще spoolsv.exe
ща и его проверю

[quote=Bratez;108367]Самое неприятное - Winlogon.exe у вас патченный, его надо заменить из дистрибутива, загрузившись в консоль восстановления

[/quote]
как через консоль поменять winlogon
и заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1

[QUOTE]заодно еще вопросик уменя есть димтрибьютив только sp2 а там винда даже не sp1[/QUOTE]
Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.

[quote=Bratez;108453]Очень хорошо, тогда не только винлогон заменить, а сделать установку поверх имеющейся системы в режиме "восстановления". Но это дело мы лучше отложим напоследок, когда всю нечисть выведем.
Извиняюсь, сейчас не могу заняться вашей темой, надо убежать на пару часов, как вернусь - продолжим.[/quote]
ок жду...... тока переустановить винду мне не дадут((
хотя я хз почему но скозали что она должна жить......
умя есть обновления до сп2 мож это поможет?
P/s вопрос не в тему а аватарки только администрация может ставить?

Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\dnsersnd.dll');
DeleteFile('C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe');
DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
DeleteFile('C:\WINDOWS\retadpu27.exe');
DeleteFile('C:\windows\bfxtray.exe');
DeleteFile('C:\windows\webal.exe');
DeleteFile('c:\windows\system32\ldcore.dll');
DeleteFile('windpy32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте логи начиная с п.10 правил.

[QUOTE]P/s вопрос не в тему а аватарки только администрация может ставить?[/QUOTE]
Мой кабинет - Изменить аватар...

[QUOTE=fotorama;108456]P/s вопрос не в тему а аватарки только администрация может ставить?[/QUOTE]

Аватарки после 100 сообщений.

[quote=Bratez;108495]Выполните такой скрипт:

[/quote]
после завершения скрипта комп не перезагрузился пришлось жать ресет

все зделал вот логи

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('v7.exe');
DeleteFile('ndisrd.sys');
BC_DeleteSvc('ndisrd');
BC_DeleteFile('ndisrd.sys');
BC_DeleteFile('v7.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://start.traffer.ru/first/
O2 - BHO: IE Redirector - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\System32\dnsersnd.dll (file missing)
[/code]
Запустите окно командной строки и выполните команды:
[B]sc delete cmdService
sc delete dnlsvc
sc delete vwservice[/B]

Я бы пофиксил еще и эти строчки, ввиду полной бесполезности, но это только мое imho, на ваше усмотрение:
[code]O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\PROGRA~1\Creative\SPLASH~1\CTEaxSpl.EXE /run
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
[/code]
После этого останется лишь патченый винлогон.

Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.

[quote=Bratez;108522]Предлагаемая переустановка Windows в режиме "Обновления" как раз и предполагает полное сохранение всех установленных приложений и пользовательских профилей со всеми настройками, папками и т.д. Заменяются только системные файлы. Таким образом мы решаем сразу две проблемы - восстановление winlogon.exe и обновление системы до SP2, ничего при этом не теряя. Если нужно, порядок действий расскажу.[/quote]
порядок действий я знаю ... но есть один вопросик винда на ео системе понятное дело крякнутая.... не будетли проблем изза того что я поставлю SP 2 ... нен придется ли его еще раз крякать кто муж кряка у мну нет(

все зделал кроме обнавлений еще логи нужны?

Благодарю за помощ..... щас меня отпукают с работы пораньше та к что вернусь к этому компу тока 10 мая ..... всем приятного проведения праздника!!!!

После обновления логи надо будет для контроля.
С наступающим! :)