питомник зверья

**PavelA** · 20.03.2009, 15:07

Осталось профиксить:

Код:

O20 - AppInit_DLLs: karna.dat

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
 DeleteFile('C:\WINDOWS\karna.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по ссылке.
Сделать лог Хиджака.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**fotorama** · 20.03.2009, 15:21

ура немного времени освободилось и смог сам посмотреть логи

такой вапросик как вы думаете такой скрипт поможет прибить зверье???

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL','');
 QuarantineFile('C:\WINDOWS\system32\iedkcs32.dll','');
 SetServiceStart('Beep', 4);
 DeleteService('Beep');
 QuarantineFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys','');
 DeleteFile('C:\WINDOWS\karna.dat');
 DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
 DeleteFile('Beep.sys');
  DeleteFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

больше всего меня валнует Beep.sys и karna.dat поскольку его я уже пытался их удалить оч много раз а они все еще живы.....

Павел спасибо за скрипт
кода постил сво пост не заметил что вы уже ответили........
но в вашем скрипте нет про beep.sys.... как мне от него избавиться?

Добавлено через 5 минут

п/с выполняю ваш скрипт сейчас карантин и логи будут

**fotorama** · 20.03.2009, 15:25

карантин пуст

лог прилогаю

**PavelA** · 20.03.2009, 15:26

DeleteFile('Beep.sys'); не сработает, нужна директория.

Ты его на проверку пришли, через карантин AVZ.
Еще увидел

Код:

O23 - Service: Windows Service Pack Installer update service (spupdsvc) - Unknown owner - C:\WINDOWS\system32\spupdsvc.exe (file missing)

**fotorama** · 20.03.2009, 15:38

еще вопрос про C:\WINDOWS\system32\iedkcs32.dll
авз на него ругается до этого на него ругался сканер доктор веба с laveCD....
вроде это нужный файл от ие.... что с ним делать?

Добавлено через 1 минуту

Сообщение от PavelA

DeleteFile('Beep.sys'); не сработает, нужна директория.

а DeleteService('Beep');??? вроде если он грохнет сервес то и файл прибьет.... или я ошибаюсь?

Добавлено через 3 минуты

с помощью поиска файлов на диске нашол его место.... system32\dllcache\beep.sys
может его грохнуть?

Добавлено через 5 минут

сейчас скриптмком его попробовал прибить... и заново логи делаю .... но если он опять жив я уже не знаю что делать...

**PavelA** · 20.03.2009, 15:41

Это копия его в кеше сидит, а сам он должен быть в system32\drivers

**fotorama** · 20.03.2009, 15:43

beep.sys
Файл сохранён как 090320_154227_virus_49c38f332a5a2.zip
Размер файла 16197
MD5 926fb05166459dc802302481733dbfb7

**PavelA** · 20.03.2009, 15:47

C:\WINDOWS\system32\iedkcs32.dll - этот, скорее всего, чистый.

Надо сделать Гмером лог.

Добавлено через 3 минуты

Твой beep.sys подмененный - Hacktool.rootkit по Симантеку. Если в dllcashe рамер у него другой, то надо будет заменить его.

**fotorama** · 20.03.2009, 15:53

Сообщение от PavelA

Это копия его в кеше сидит, а сам он должен быть в system32\drivers

В system32\drivers я его не нашол

**PavelA** · 20.03.2009, 15:58

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Beep');
 BC_DeleteSvc('Beep');
 DeleteFile('C:\DOCUME~1\USER~1.ACE\LOCALS~1\Temp\tblafakj.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\Beep.sys');
DeleteFile('C:\WINDOWS\system32\dllcache\Beep.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**fotorama** · 20.03.2009, 16:14

логи повторить?

**PavelA** · 20.03.2009, 16:19

Конечно. Да, и сам ты сможешь увидеть в процессе выполнения скрипта удалилось или нет.

**fotorama** · 24.03.2009, 09:49

извените за задержку, просто времени небыло

вот новые логи вроде ни чего креминального нет

**PavelA** · 24.03.2009, 10:01

Профиксить:

Код:

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL (file missing)

F:\autorun.inf - это твое?

**fotorama** · 24.03.2009, 12:36

спасибо
да авторан мой

**CyberHelper** · 25.03.2009, 12:36

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 136
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\antiviruspro2009\antiviruspro2009.exe - Trojan.Win32.FraudPack.gwh ( DrWEB: Trojan.Fakealert.2088, BitDefender: Trojan.FakeAV.DM )
2. c:\progra~1\mywebs~1\bar\1.bin\m3srchmn.exe - not-a-virus:WebToolbar.Win32.MyWebSearch.au ( DrWEB: Adware.Websearch, BitDefender: Adware.Generic.31741 )
3. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp540\a0220664.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
4. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221663.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
5. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221664.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
6. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221665.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
7. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0221666.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
8. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222665.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
9. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp541\a0222666.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
10. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
11. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp542\a0222668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
12. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
13. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp543\a0223668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
14. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
15. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp544\a0224668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
16. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
17. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp545\a0225668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
18. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
19. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp547\a0226668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
20. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
21. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp548\a0227668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
22. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
23. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp549\a0228668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
24. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
25. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp550\a0229668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
26. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
27. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0230668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
28. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
29. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0231668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
30. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
31. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0232668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
32. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233667.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
33. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233668.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
34. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233669.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
35. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp551\a0233670.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
36. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233671.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
37. c:\system volume information\_restore{f918bc58-45aa-4fe0-9c45-66e428ba9339}\rp552\a0233672.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
38. c:\windows\brastk.exe - Trojan-Downloader.Win32.Small.agdo ( DrWEB: Trojan.Fakealert.3821, BitDefender: Generic.Malware.Yd!dld!!sp!.F5D915BA )
39. c:\windows\system32\dllcache\beep.sys - Backdoor.Win32.UltimateDefender.a ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )
40. c:\windows\system32\drivers\beep.sys - Backdoor.Win32.UltimateDefender.a ( DrWEB: Trojan.Fakealert.458, BitDefender: Generic.Malware.P!.F3EB72A7 )
41. c:\windows\system32\karna.dat - Backdoor.Win32.Small.gjm ( DrWEB: Trojan.Proxy.1739, BitDefender: Backdoor.Agent.ZWW )
42. c:\windows\system32\_scui.cpl - Trojan.Win32.FraudPack.gyi ( DrWEB: Trojan.Fakealert.2082, BitDefender: Trojan.FakeAlert.AOS )
43. f:\autorun.inf - Worm.Win32.AutoRun.dmp ( DrWEB: Win32.HLLW.Autoruner.840, BitDefender: Trojan.Component.AI )
44. f:\printer.exe - Worm.Win32.VB.el ( DrWEB: Trojan.Dafut, BitDefender: Worm.VB.NGS )

питомник зверья (заявка № 41808)

Опции темы

Итог лечения

Похожие темы

Помогите избавиться от зверья

Dialerы и еще куча зверья

Помогите от зверья избавиться

Ещё один ПК после "зверья"

нужен совет по отлову зверья...

Ваши права в разделе