Собственно, ситуация стандартная, массовое заражение, комп постоянно перегружается, в сейф-моде авз полечил, и стал загружаться, но думаю осталось много гадостей...
Прошу помочь...
Собственно, ситуация стандартная, массовое заражение, комп постоянно перегружается, в сейф-моде авз полечил, и стал загружаться, но думаю осталось много гадостей...
Прошу помочь...
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, содержимое карантина AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=12734 , как написано в прил.3 правилКод:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); Quarantinefile('C:\WINDOWS\system32\y3.dll ',''); QuarantineFile('C:\Program Files\SEYCHAS\liganews.exe',''); QuarantineFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('c:\program files\handycache2007\handycache.exe',''); QuarantineFile('c:\install\winsent.exe',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\K1EF09MN\msntsrv[1].exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89ARSL6V\windin2[1].exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\6.tmp'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\38.tmp'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\3.tmp'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Numb; 25.09.2007 в 12:43. Причина: Поправлен скрипт AVZ
Я точно знаю, что это за файлы:
handycache.exe
winsent.exe
winlogon.exe
liganews.exe
это не вирусы...
---
Что же касается winlogon.exe, то он переписан с дистрибутива.
---
а вот arm32.dll неизвестный
пришлю
ну может и поделюсь, хотя хэнди - это программа для кеширования и экономии трафика, винсент - отсылка сообщений по локалке, лиганьюз - новостная программа о законодательстве, ну, а про логон уже писал )
ну может Вам кто то и поможет... потом... если хорошо попросите... (с) из кино ;-)
Добавлено через 6 минут
Из присланного:
C:\WINDOWS\system32\y3.dll
C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.e xe
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
Код:Scan taken on 25 Sep 2007 09:31:01 (GMT) A-Squared Found Trojan.Win32.Agent.aph AntiVir Found TR/Crypt.XDR.Gen, TR/Crypt.XPACK.Gen, BDS/VB.aya.396 ArcaVir Found Trojan.Agent.Aph Avast Found Win32:Agent-JWJ, Win32:Xorpix-U, Win32:Agent-JYV AVG Antivirus Found nothing BitDefender Found Generic.Srizbi.75408276, Trojan.Agent.APH ClamAV Found PUA.Packed.UPack CPsecure Found nothing Dr.Web Found Trojan.MulDrop.8732, BackDoor.Bech, Trojan.Sespy F-Prot Antivirus Found W32/Dropper.gen6, W32/Agent.DNA F-Secure Anti-Virus Found Rootkit.Win32.Agent.ea, Trojan-Proxy.Win32.Xorpix.bs, Trojan.Win32.Agent.aph Fortinet Found W32/Agent.EA!tr.rkit Kaspersky Anti-Virus Found Rootkit.Win32.Agent.ea, Trojan-Proxy.Win32.Xorpix.bs, Trojan.Win32.Agent.aph NOD32 Found nothing Norman Virus Control Found W32/Suspicious_U.gen, W32/Agent.CBHT Panda Antivirus Found Trj/Downloader.MDW, Trj/Agent.GDY Rising Antivirus Found Trojan.Win32.Agent.wbh Sophos Antivirus Found Mal/Generic-A, Mal/Packer, Mal/Heuri-E VirusBuster Found nothing VBA32 Found Rootkit.Win32.Agent.ea, Trojan.Win32.Agent.aph
Последний раз редактировалось Shu_b; 25.09.2007 в 13:33. Причина: Добавлено
и как с этим бороться?
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, пришлите карантин и сделайте новые логи. Первый скрипт выполнили без изменений, или правили? Поясню про запрос файлов: winlogon.exe в ваших первых логах - не проходит проверку по базе безопасных файлов, хотя и должен. Дата изменения - 13.09.2007 - очень подозрительна. Потому его так настойчиво и прошу прислать. Остальные, если подозрения не подтвердятся, могут пополнить базу безопасных файлов, так что лишними не будут.Код:begin Clearquarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\winlogon.exe',''); BC_QrFile('c:\windows\system32\winlogon.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe'); DeleteFile('C:\WINDOWS\system32\y3.dll'); BC_DeleteFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.exe'); BC_DeleteFile('C:\WINDOWS\system32\y3.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
хорошо пришлю, а 13 числа это я его сам переписывал с дистрибутива
Добавлено через 4 минуты
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Quarantinefile('C:\WINDOWS\system32\y3.dll ','');
QuarantineFile('C:\Program Files\HandyCache2007\Cache\58.65.235.121\windin2.e xe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\K1EF09MN\msntsrv[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89ARSL6V\windin2[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\6.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\38.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\3.tmp');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Такой выполнил тогда, убрав строки с теми файлами в которых уверен на 100 процентов.
Добавлено через 44 минуты
Последний раз редактировалось SonarMaster; 25.09.2007 в 15:39. Причина: Добавлено
Выполнил скрипт указанный в 14:32, логи цепляю, карантин шлю
Присланный c:\windows\system32\winlogon.exe
Код:Scan taken on 25 Sep 2007 13:06:56 (GMT) A-Squared Found nothing AntiVir Found TR/Drop.Mudrop.EE.13 ArcaVir Found nothing Avast Found Win32:Patched-BE AVG Antivirus Found Win32/PEPatch.Y BitDefender Found Trojan.WLPatch.A ClamAV Found Trojan.Agent-4376 CPsecure Found Troj.W32.Patched.Q Dr.Web Found Trojan.Starter.212 F-Prot Antivirus Found W32/Libload.A F-Secure Anti-Virus Found Trojan.Win32.Patched.q Fortinet Found W32/WLHack.C!tr Kaspersky Anti-Virus Found Trojan.Win32.Patched.q NOD32 Found nothing Norman Virus Control Found W32/Agent.BMQP Panda Antivirus Found W32/Patchlog.C Rising Antivirus Found nothing Sophos Antivirus Found Troj/WLHack-C VirusBuster Found nothing VBA32 Found Trojan.Win32.Patched.q
Да уж...
По карантину: c:\windows\system32\winlogon.exe - Trojan.Win32.Patched.q (по Касперскому), Trojan.Starter.212 (По DrWeb). Cureit! его лечит. Раз вы такой недоверчивый, качайте Cureit! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и проверяйте систему, желательно, загрузившись в безопасном режиме.
уже качаю куреит
Добавлено через 12 минут
полечил куреитом, при повторном сканировании уже в обычном режиме, куреит ничего не сказал... надеюсь, что это таки победа )
Последний раз редактировалось SonarMaster; 25.09.2007 в 17:43. Причина: Добавлено
Ну, будем надеяться... А для уверенности, хорошо бы логи повторить, начиная с п. 10 правил
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - Trojan-Proxy.Win32.Xorpix.bs (DrWEB: BackDoor.Bech)
- c:\\program files\\handycache2007\\cache\\58.65.235.121\\windi n2.exe - Rootkit.Win32.Agent.ea (DrWEB: Trojan.Packed.560)
- c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.q (DrWEB: Trojan.Starter.212)
- c:\\windows\\system32\\y3.dll - Trojan.Win32.Agent.aph (DrWEB: Trojan.Sespy)
Уважаемый(ая) SonarMaster, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.