-
Full Member
- Вес репутации
- 63
зоопарк троянов
ДрВеб обнаружил:
Trojan.Spambot
Trojan.MulDrop.7857
BackDoor.Bulknet
Trojan.DownLoader.24766
Trojan.PWS.LDPinch.1957
Trojan.Packed.140
Trojan.PWS.Tanspy
Trojan.Packed.142
последствия - перезагрузка компа после ввода пароля, невозможность установить на рабочем столе ярлыков "Мой компьютер" и др через настройки рабочего стола.
Логи прилагаю
Последний раз редактировалось Rogoff; 11.01.2008 в 08:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите с помощью Hijackthis строки
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\driverquery.dll
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{BBE2F~1\reboot.ini -l0x19
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\msdrv5.exe','');
QuarantineFile('C:\WINDOWS\system32\msdrv1.exe','');
QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\cfgldr.dll','');
QuarantineFile('c:\windows\system32\driverquery.dll','');
QuarantineFile('C:\WINDOWS\csrss.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('NDIS.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('c:\windows\system32\driverquery.dll');
DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. Если, после перезагрузки, получится нормально войти в систему, то загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=11375 , как написано в прил.3 правил, и сделайте новые логи. Если загрузка будет возможна только в безопасном режиме, то, в дополнение к логам из правил, сделайте логи, о которых написано здесь - http://virusinfo.info/showthread.php?t=10387
Последний раз редактировалось Numb; 27.07.2007 в 15:59.
Причина: Поправил строки для фикса в HJT
-
-
Full Member
- Вес репутации
- 63
Загрузится в обычном режиме получалось и раньше, только под другой учетной записью (Админ).
После выполнения фиксов и скрипта загрузился в обычном режиме под админской записью - АВЗ не запускается. Пришлось выполнять стандартные скрипты в защищенном режиме и делать дополнительные логи. Вс прилагается.
Карантин загружен:
Файл сохранён как 070730_051438_virus_46ad3b7ee5048.zip
Размер файла 814776
MD5 33f182767b35aced9548e7ebae5f602d
-
Full Member
- Вес репутации
- 63
Забыл прикрепить логи
Последний раз редактировалось Rogoff; 11.01.2008 в 08:18.
-
Пока буду просматривать карантин,дам дельный совет,почистите корзину/временные файлы интернета/папку темп(C:\Documents and Settings\Макс\Local Settings\Temp\), а то через дебри мусора плохо смотреть.
Вот статейка по поводу удаления мусора с пк
http://www.virusinfo.info/showthread.php?t=10025
C:\WINDOWS\system32\svchost.exe:exe.exe - Trojan.Win32.Obfuscated.gp
C:\Documents and Settings\Макс\Local Settings\Temp\winlogon.exe - Trojan-Proxy.Win32.Small.du
C:\WINDOWS\system32\cfgldr.dll - Trojan-Downloader.Win32.Agent.bga
C:\WINDOWS\csrss.exe - Trojan-PSW.Win32.LdPinch.bvb
C:\WINDOWS\system32\msdrv1.exe - Trojan-Spy.Win32.BZub.js,
C:\WINDOWS\system32\msdrv5.exe - Trojan-PSW.Win32.LdPinch.bno
(по Касперскому)
У вас был пинч,смените пароли от почты/icq/вебмани и т.п
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cfgldr.dll');
DeleteFile('C:\WINDOWS\system32\msdrv5.exe');
DeleteFile('C:\WINDOWS\system32\msdrv1.exe');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\system32\cfgldr.dll');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\msdrv5.exe');
BC_DeleteFile('C:\WINDOWS\system32\msdrv1.exe');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteSvc('runtime2');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
выполните второй скрипт
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\vdi5otuy.sys','');
QuarantineFile('C:\fwdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\windev-347e-351a.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11375
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Попробуйте загрузиться в обычном режиме и повторить логи
Последний раз редактировалось Muzzle; 30.07.2007 в 07:54.
Причина: посмотрел карантин
-
-
Full Member
- Вес репутации
- 63
скрипт выдает ошибку на 15 строку
-
извините упустил всё поправил,выполняйте скрипты
Последний раз редактировалось Muzzle; 30.07.2007 в 06:51.
-
-
Full Member
- Вес репутации
- 63
карантин закачал
Файл сохранён как 070731_062512_virus_46ae9d88a771a.zip
Размер файла 191644
MD5 5602f31644bf506b886fe728941287c4
Логи прилагаю, действий сам не предпринимаю, но во врем. папке есть winlogon судя по логу hijackthis. Да, все время забываю спросить, почему в обычном режиме не запускается АВЗ? Из-за этого логи сделаны снова в безопасном режиме.
Последний раз редактировалось Rogoff; 31.07.2007 в 06:34.
Причина: опечатки
-
Full Member
- Вес репутации
- 63
Последний раз редактировалось Rogoff; 11.01.2008 в 08:18.
-
1. Переименуйте папку с AVZ в 1, а файл avz.exe в 1.exe.
2. После переименования попробуйте сделать ещё раз логи как обычно.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\winlogon.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11375
после просмотра карантина ещё 1 зверь
windev-347e-351a.sys - Trojan-Spy.Win32.BZub.js
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\windev-347e-351a.sys');
BC_DeleteFile('C:\WINDOWS\system32\windev-347e-351a.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
компьютер перезагрузиться.
Последний раз редактировалось Muzzle; 31.07.2007 в 08:16.
Причина: не одел очки %)
-
-
Full Member
- Вес репутации
- 63
перед выполнением скрипта логи как обычно полностью не сделал (сделал только № 3, а потом выполнил скрипт). В карантин ничего не попало. Заново логи делать?
-
Выполните второй скрипт из моего сообщения,и логи нужно делать после выполнения скриптов,поэтому когда скрипт отработает и компьютер загрузиться повторите все три лога из обычного режима.
-
-
Full Member
- Вес репутации
- 63
второй скрипт выдал ошибку что много каких-то параметров (4:12)
-
Извините,что-то сегодня день суетной
Вполняйте я поправил и логи из нормального режима сделайте.
-
-
Full Member
- Вес репутации
- 63
2-й скрипт выполнил. Комп сам не смог перезагрузиться, завис на этапе когда остаются только обои рабочего стола. Ручная перезагрузка и выполнение 3 и 2 стандартных скриптов + лог hijackthis
Последний раз редактировалось Rogoff; 11.01.2008 в 08:19.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\tcpip.sys','');
QuarantineFile('c:\windows\spooldr.exe','');
DeleteFile('c:\windows\spooldr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11375
Как состояние компьютера?
-
-
Full Member
- Вес репутации
- 63
Карантин закачан (2,8 Мб)
Файл сохранён как 070731_092432_virus_46aec790a498b.zip
Размер файла 3021990
MD5 1c6511debcf4a26a1af0fd994344d56a
Сообщение от
Muzzle
Как состояние компьютера?
Сейчас комп сам не перезагружается, ярлыки "Мой компьютер" и др через настройки рабочего стола устанавливаются
На этом разбор полетов завершен?
Добавлено через 3 часа 45 минут
после обновления DRWeb'a был обнаружен Backdoor.Groan в файле tcpip.sys в папке windows\system32\drivers !!!
Видимо я зря к локальной сети подключился
Хотя выполнил все рекомендации по службам из книги http://security-advisory.newmail.ru/ а также учетную запись ограничил в правах...
Последний раз редактировалось Rogoff; 31.07.2007 в 13:17.
Причина: Добавлено сообщение
-
c tcpip.sys-поосторожней, если действительно заражён. нельзя просто удалять, нужно заменить на оригинальный .
-
-
вам необходимо перед выполнением второго скрипта найти чистый tcpip.sys потом перезапишите на место удаленного - (взять с другой машины и перезаписать на место удаленного)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
DeleteFile('c:\windows\spooldr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
второй скрипт
Код:
begin
DeleteFile('C:\WINDOWS\system32\drivers\tcpip.sys');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
Последний раз редактировалось V_Bond; 31.07.2007 в 14:44.
-
-
Full Member
- Вес репутации
- 63
Скрипты выполнил, но с карантином вышло недоразумение - решил обновить АВЗ (удалил старую папку и из корзины тоже, а карантин не сохранил )
С файлом tcpip.sys была следующая процедура:
после выполнения 2-го скрипта файл tcpip.sys в папке drivers остался на месте и замена чистым не помогла - система не разрешила переписать файл, пришлось загружаться в безопасном режиме и заменять.
Логи прилагаю
Последний раз редактировалось Rogoff; 11.01.2008 в 08:19.