-
Junior Member
- Вес репутации
- 61
Вирус отключает антивирусы и закрывает доступ к брандмауэру. Help me PLEASE
Несколько дней назад avast сигнализировал об обнаружении вируса. Данный вирус автоматически отключал брандмауэр, не пускает в "Учетные записи пользователей", при нажатии Ctrl+Alt+Del на мониторе высвечивалось "Диспетчер задач отключен администратором", попытка запустить AVZ ничего не дала, резидентный сканер avast более не запускается, плюс ко всему при подключении к Internet без остановки качается траф.
Просканировал avastом, он нашел кучу троянов. Затем при помощи ad-ware, он тоже обнаружил несколько критических объектов. После просканировал при помощи cureit - обнаружено более 40 троянов, среди которых несколько Trojan.Downloader, Trojan.Packed и еще несколько видов. Trojan.Polipos выявлен не был. Все они удалены. Однако трафик при подключении к Internet по прежнему заливается в мой комп самостоятельно, а утилита AVZ и резидентный сканер avast по прежнему не запускаются. При попытке запустить Брандмауэр Windows высвечивается сообщение "Вследсвтие неопределенной ошибки не удается отобразить параметры брандмауэра Windows".
Может с Вашей помощью получится "изгнать" эту гадость?
Все сделал как написано в правилах, однако не могу выслать log сканирования утилитой AVZ, т.к. она после инфицирования не запускается.
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
monia
Все сделал как написано в правилах, однако не могу выслать log сканирования утилитой AVZ, т.к. она после инфицирования не запускается
Без лога AVZ помочь очень сложно. А если переименовать AVZ.EXE скажем в 123.EXE ?
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
Без лога AVZ помочь очень сложно. А если переименовать AVZ.EXE скажем в 123.EXE ?
Получилось
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Junior Member
- Вес репутации
- 61
Оп-па, теперь еще и комп не выключается, нажимаю "Выключить", а он перезагружается.
-
Сообщение от
monia
Оп-па, теперь еще и комп не выключается, нажимаю "Выключить", а он перезагружается.
На завирусованной машинке все может быть. Версия AVZ не та - применялась 4.25, а текущая - 4.27. Следует скачать новую версию и повторить логи ... на компьютере явный зловред, необходимо выполнить скрипт, предложенный в моем посте номер 8 ниже
Последний раз редактировалось Зайцев Олег; 12.09.2007 в 17:36.
-
-
и что за чудо C:\Documents and Settings\Андрей\Мои документы\anti.bat
-
-
И пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Опыт — это слово, которым люди называют свои ошибки.
-
-
Для заражения данным зловредом мой анализатор предлагает вот такой скрипт - он должен добить зловреда или по крайней мере часть его:
Код:
begin
SetAVZGuardStatus(true);
// Добавление указанного файла в карантин
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryxp77.sys','');
QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe', '');
// Удаление файла
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('c:\windows\system32\spoolsvv.exe');
DeleteFile('c:\windows\spooldr.exe');
DeleteFile('c:\windows\SYSTEM32\spooldr.sys');
DeleteFile('c:\windows\system32\msvc32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Hdpo57.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryxp77.sys');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\retadpu27.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('%Tmp%\winlogon.exe');
DeleteFile('%Tmp%\hd1.tmp');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
// Очистка файла Hosts
ClearHostsFile;
// Импорт в задание BootCleaner списка файлов, помещенных в скриптом карантин
BC_ImportQuarantineList;
// Активация BootCleaner
BC_Activate;
// Эвристическая чистка системы
ExecuteSysClean;
DelCLSID('36DBC179-A19F-48F2-B16A-6A3E19B42A87');
// Перезагрузка
RebootWindows(true);
end.
После выполнения данного скрипта и перезагрузки потребуется найти tcpip.sys в папке C:\WINDOWS\System32\Drivers\ и заменить его на чистый из дистрибутива (зловред патчит этот файл)
Последний раз редактировалось Зайцев Олег; 12.09.2007 в 18:07.
-
-
Сообщение от
Bratez
Осмелюсь дополнить анализатор Олега
Еще один файлик интересен:
Я дописал в общий скрипт карантин этого файлика, спасибо
-
-
Junior Member
- Вес репутации
- 61
Изменения после выполнения скрипта, который дал Олег: AVZ запускается как положено, резидентный сканер avast заработал, наконец-то меня пустили в "Учетные записи пользователей".
Спасибо!
Осталось без изменений: траф так и качается, вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.
Файл tcpip.sys я заменил
Высылаю новые логи.
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
В AVZ сделайте:
Файл - Восстановление системы - отметить #6 - Выполнить.
В HijackThis пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O20 - Winlogon Notify: botreg - C:\WINDOWS\
В остальном абсолютно чисто.
Может быть, качаются какие-нибудь обновления, надо подождать немного.
Насчет брандмауэра - сейчас поищу ссылку, тут давали сегодня...
I am not young enough to know everything...
-
-
Сообщение от
monia
Изменения после выполнения скрипта, который дал Олег: AVZ запускается как положено, резидентный сканер avast заработал, наконец-то меня пустили в "Учетные записи пользователей".
Спасибо!
Осталось без изменений: траф так и качается, вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows.
Файл tcpip.sys я заменил
Высылаю новые логи.
Зверей основных разогнали ... в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.
-
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
Зверей основных разогнали ... в AVZ меню "Файл\резервное копирование", там следует отметить пункт номер 7 и нажать "выполнить". После этого в папке AVZ\BackUp появится User_WF.reg_<дата-время>.reg. Его следует прицепить сюда в архиве ZIP (это настройки брандмауэра Windows). Далее AVZ, Меню "Файл\Восстановление системы", там выделиьт позиции 6 и 9 и выполнить восстановление. Сразу после этого можно попоробовать открыть настройки брандмауэра, может сработает.
Все сделал - брандмауэр не запускается.
Прикрепляю User_WF.reg в архиве
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Сообщение от
monia
Все сделал - брандмауэр не запускается.
Прикрепляю User_WF.reg в архиве
настройки полностью убиты ... я так и думал. В аттаче REG файл для этого ключика, экспортирвоанный на "живой" XP SP2 - я советую импортировать его и перезагрузиться, может поможет.
Последний раз редактировалось Зайцев Олег; 19.10.2008 в 22:03.
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось monia; 12.09.2007 в 20:32.
-
-
-
Junior Member
- Вес репутации
- 61
После всего проделанного решил еще раз провериться утилитой Cureit. Результат:
C:\Documents and Settings\Администратор...\A003733.exe инфицирован Trojan.Muldrop.8511
C:\Downloads\Архивы\avz4\avz4\Quarantine\2007-09-12\avz00001.dta
инфицирован Trojan.NtRootKit.371
Удалено. Однако траф качается даже при отключеном браузере и это точно не обновления.
Сообщение от
Maxim
Логи сделайте ещё раз.
Сделал, вложил.
Последний раз редактировалось monia; 13.06.2008 в 15:09.
-
Сообщение от
monia
После всего проделанного решил еще раз провериться утилитой Cureit. Результат:
C:\Documents and Settings\Администратор...\A003733.exe инфицирован Trojan.Muldrop.8511
C:\Downloads\Архивы\avz4\avz4\Quarantine\2007-09-12\avz00001.dta
инфицирован Trojan.NtRootKit.371
Удалено. Однако траф качается даже при отключеном браузере и это точно не обновления.
Сделал, вложил.
Это как я понимаю домашний ПК, без выхода на некую "домашнюю" сеть ? Если это так, то выполните:
1. следующий скрипт:
Код:
begin
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
2. следует открыть свойства сетевого соединения с Инет - там как минимум нужно снять птичку с "Службы доступа к файлам и принтерам сети Microsoft"
3. Следует поменять пароли (на своей учетной записи и учетной записи админа)
4. В ходе выполнения операции 3 в списке пользователей ("Мой компьютер\Управление" - там "Локальные пользователи и группы\Пользователи") посмотреть, не появились ли посторонние пользователи
5. В AVZ включить AVZPM
6. Перезагрузиться и после этого посмотреть, идет ли трафик
7. После перезагрузки запустить сканирование AVZ (все по умолчанию) и посмотреть, не найдет ли он что-то в разделе "1.4 Поиск маскировки процессов и драйверов"
-
-
Junior Member
- Вес репутации
- 61