-
Junior Member
- Вес репутации
- 58
Trojan.Siggen.172 и Trojan.Packed.569
Добрый день, товарищи. Помогите пожалуйста, сложилась такая ситуация:
поселились два вот этих гада: Trojan.Siggen.172 и Trojan.Packed.569. В сервисах свойство папки пропала, регэдит не запускается, говорит групповой политикой заблокировано, в безопаснике из под админа работает, но ключи в автозагрузке не удаляются. Если мсконфиг править вручную, после его перезапуска все возвращается на свои места. CureIt лечил, находит их, удаляет, но после перезагрузки все на своих местах. Логи прилагаю. Заранее благодарен за помощь.
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
H:\windows\system32\winhelp32.exe
H:\WINDOWS\system32\vmmreg32.dll
H:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
H:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
H:\WINDOWS\SYSTEM32\VIDEO.sys
H:\WINDOWS\SYSTEM32\VIDEO.bkp
H:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
H:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('H:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('H:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('H:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('H:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('H:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('H:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('H:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('H:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('H:\windows\system32\winhelp32.exe','');
QuarantineFile('h:\windows\system32\msservice.exe','');
QuarantineFile('H:\Documents and Settings\user\53913.exe','');
QuarantineFile('H:\WINDOWS\system32\vtUlLcDv.dll','');
QuarantineFile('H:\WINDOWS\system32\djfgj93jkd.dll','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe','');
QuarantineFile('H:\WINDOWS\system32\ntos.exe','');
QuarantineFile('h:\windows\system32\winhelp32.exe','');
DeleteService('Virtual Memory Protector');
DeleteService('Microsoft Internet Service');
DeleteFile('h:\windows\system32\winhelp32.exe');
DeleteFile('H:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe');
DeleteFile('H:\WINDOWS\system32\djfgj93jkd.dll');
DeleteFile('H:\WINDOWS\system32\vtUlLcDv.dll');
DeleteFile('H:\Documents and Settings\user\53913.exe');
DeleteFile('h:\windows\system32\msservice.exe');
DeleteFile('H:\windows\system32\winhelp32.exe');
DeleteFile('H:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('H:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('H:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('H:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('H:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('H:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('H:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Virtual Memory Protector');
BC_DeleteSvc('Microsoft Internet Service');
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Выполните скрипт 2
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:28.
-
- Выполните скрипт
Код:
begin
DelWinlogonNotifyByFileName('pcixmm.dll');
DelWinlogonNotifyByFileName('vtUlLcDv.dll');
RebootWindows(true);
end.
После перезагрузки
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:30.
-
Сообщение от
Synthetic_God
готово
Редактор реестра экспортируйте ветку
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows и как текстовый файл прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Synthetic_God; 10.12.2008 в 10:30.
-
Сообщение от
Synthetic_God
вирус там отметился...
Поудаляйте значение
H:\WINDOWS\SYSTEM32\winhelp32.exe
в ключах load и run.
Больше ничего плохого.
-
-
Junior Member
- Вес репутации
- 58
спасибо большое за помощь