Показано с 1 по 18 из 18.

Видимо руткит и чего-то еще. (заявка № 19709)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61

    Thumbs up Видимо руткит и чего-то еще.

    Приветствую.
    Проблема такая.

    Монитор антивируса Mcafee начал постоянно информировать, что заблокирована попытка Bufer overflow
    Пачками информирует, что удаляет трояны и вирусы в system32 и в корне системного диска.
    Постоянно при загрузке лезут ошибки windows память не может быть read, ошибки при старте каких-то явно левых сервисов.
    Заблокирован диспетчер задач, AVZ Об этом пишет в логе сканирования, но не исправляет..ну или я не понял как ему сказать, чтобы исправил..

    ЧТо было сделано.
    В безопасном режиме полный скан средствами Mcafee.
    Вручную потер все подозрительное из ветвей реестра HKLM....\run и HKCU....\run
    Прошелся полным сканированием AVZ. Находит как я понимаю замаскированные в svchost.exe бяки. Ничего правда не удаляет.

    Симптомов стало существенно меньше, но бяки явно остались. Система тормозит. Особенно при включенном мониторе антивируса. Если его не выключить, то через некоторое время опять сообщения о предотвращении Bufer overflow.

    Далее все делал следуя вашей инструкции.

    1. В безопасном режиме CureIt нашел и написал, что удалил трояны Troyan.MUlDrop.12057, Troyan.Sentinel, Troyan.BhoSpy, Troyan.Spambot.2887, Troyan.proxy И еще кучку разнообразных троянчиков (В классификации drweb)
    2. Логи avz и HJ

    Заранее спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
     QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\winlugan.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.dll','');
     QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
     QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
     DeleteFile('C:\WINDOWS\system32\winlugan.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
     DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('C:\System Volume Information\_restore{4765A92D-E8AE-4D1C-ABCA-368E9460F727}\RP1\A0004074.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19709).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    "," expected в позиции 24:1
    Ошибка синтаксиса

    Добавлено через 2 минуты

    Прошу прощения, все нормально. Криво скопировал скрипт
    Последний раз редактировалось afomich; 13.03.2008 в 11:09. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Карантин выслал.
    Скрипт выполнил. Правда когда система попыталась перезагрузиться все намертво повисло на моменте завершения сетевых подключений. Пришлось доперезагрузить кнопкой.
    Новые логи прилагаю.
    Вложения Вложения

  6. #5
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\setup.exe','');
     QuarantineFile('C:\Program Files\Common Files\System\wmpisvrs32.dll','');
     QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll','');
     DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
    BC_ImportAll;
     BC_DeleteSvc('FCI');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложению 3 правил ...
    В карантине A0004074.exe - Trojan-Downloader.Win32.Tibs.vz, CbEvtSvc.exe - Trojan-Downloader.Win32.Agent.kxo, svchost.exe:ext.exe:$DATA - Trojan.Win32.Inject.adl

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    пока удалим вот это. Еще один остался под подозрением.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
    BC_DeleteSvc('FCI');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Скрипт wise-wistful выполнил, карантин выслал.
    Скрипт PavelA тоже выполнять или уже не стоит?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Можете выполнять, а можно и подождать окончательного решения по файлу, удаляемому в скрипте. Он, кстати, был в первом карантине.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Ну тогда ждем)

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    cj.v2.dll - Trojan-Clicker.Win32.Agent.wd, wmpisvrs32.dll - Trojan.Win32.Pakes.civ
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Common Files\System\wmpisvrs32.dll');
     DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll');
     DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите все логи.

    Добавлено через 4 минуты

    spools.exe - чистый.
    Последний раз редактировалось wise-wistful; 13.03.2008 в 21:47. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Скрипт выполнен.
    Логи прикладываю.
    Вложения Вложения

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Поищите при помощи АВЗ сервис--поиск файлов на диске autorun.inf, wmpisvrs32.exe, setup.exe если найдутся тогда согласно приложению 2 правил вышлите их.
    Пофиксите
    O2 - BHO: cj helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program Files\IE Extensions\cj.v2.dll (file missing)

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    setup.exe на диске D - это от системы восст. для Тошибы. Там не должно быть ничего интересного.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Файлов не нашел. Setup.exe это с флешки, с которой работал avz и HJ. Это setup от дистрибутива windows.

    Проблем, кстати, я уже не наблюдаю, и судя по всему, все чистенько уже?))

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Логи сделайте только не с флешки, а с жёсткого диска, пожалуйста.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от afomich Посмотреть сообщение
    Файлов не нашел. Setup.exe это с флешки, с которой работал avz и HJ. Это setup от дистрибутива windows.

    Проблем, кстати, я уже не наблюдаю, и судя по всему, все чистенько уже?))
    Значит, я обшибся.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    29.07.2007
    Адрес
    Москва
    Сообщений
    36
    Вес репутации
    61
    Прошу прощения за некую незавершенность. Дело в том, что ноут уехал с хозяином в командировку и появится не особо скоро. На момент отъезда видимых проблем и неудобств не было.
    Спасибо вам за оперативную помощь)

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\system\\wmpisvrs32.dll - Trojan.Win32.Pakes.civ (DrWEB: Trojan.NtRootKit.975)
      2. c:\\program files\\common files\\system\\wmpisvrs32.exe - Trojan-Downloader.Win32.Agent.ldf (DrWEB: Trojan.PWS.LDPinch.2526)
      3. c:\\program files\\ie extensions\\cj.v2.dll - Trojan.Win32.Emgr.a (DrWEB: Trojan.Click.18029)
      4. c:\\system volume information\\_restore{4765a92d-e8ae-4d1c-abca-368e9460f727}\\rp1\\a0004074.exe - Trojan-Downloader.Win32.Tibs.vz (DrWEB: Trojan.DownLoader.19256)
      5. c:\\windows\\system32\\cbevtsvc.exe - Trojan-Downloader.Win32.Exchanger.j (DrWEB: Trojan.DownLoader.4903
      6. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Inject.adl (DrWEB: Trojan.Spambot.3083)


  • Уважаемый(ая) afomich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Видимо вирус
      От DarkBLade в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.12.2010, 09:07
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    3. Видимо, вирус
      От voron73 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:14
    4. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    5. Видимо троян...
      От FlyCry в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.12.2007, 02:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01124 seconds with 20 queries