lich.sys, trojan.NtRootKit.497 & etc

**uceps** · 10.12.2007, 16:02

Комп сотрудника. ВинХП сп2. По недостмотру его акаунт имел права локального админа. При загрузке начали появляться виндовые окна/ероры - "приложение абракадабра.ехе ошибка чтения памяти по адресу такому-то", "отправить отчет о сбое в МС?". Диспетчер задач оказался заблокированным - типа запрещен администратором... + все жутко тормозит.

Ребут в safe mode + cureit - 50 шт вирусов в папках "c:\windows; c:\windows\system32; inet temps user'a".

ребут в нормальном режиме - никаких изменений - диспетчер задач заблокирован, тормоза, АВЗ стартует но не позволяет запустить скрипты.. + появлись удаленные в сейфмоде зараженные файлы (c:\lich.exe, c:\windows\system32\lich.sys, etc..)

нова сейфмод, снова кюрит, + там же АВЗ, в нем лечение + ручками удаление левых служб (zzz_lich, etc..) + там же чистка списка автозапуска ОС..

ребут в нормалмод - под локальным админом еще раз проверка кюритом
и АВЗ - почистило еще какие-то остатки, но уже удаленные файлы больше не создаются..

ребут в нормалмоде под лок админом - вроде все ок. убрал искомого юзера из группы лок админов. релогон под его акаунтом и.. см. начало поста

есть какие-либо идеи?
логи прилагаются.

спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**zerocorporated** · 10.12.2007, 16:10

1.В avz выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZPMStatus(true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',' ');
 DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
 BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 правил

3.Сделайте дополнительный лог

4.Ещё этот скрипт выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll','');
 QuarantineFile('C:\Documents and Settings\LocalService\winmain.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\system.exe','');
 QuarantineFile('C:\WINDOWS\system32\makehm.exe','');
 QuarantineFile('C:\WINDOWS\system32\systb.dll','');
 QuarantineFile('C:\WINDOWS\system32\wetde1.dll','');
 DeleteFile('C:\WINDOWS\system32\wetde1.dll');
 DeleteFile('C:\WINDOWS\system32\systb.dll');
 DeleteFile('C:\WINDOWS\system32\makehm.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\system.exe');
 DeleteFile('C:\Documents and Settings\LocalService\winmain.exe');
 DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\bot.dll');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Компьютер перезагрузится.

**uceps** · 10.12.2007, 17:01

1. карантин - отправил.
2. после первого скрипта сделал доп лог в АВЗ - приатачен к этому посту.

после выполнения второго скрипта вышлю повторно все логи

**Bratez** · 10.12.2007, 17:07

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
 BC_QrSvc('asc3550p');
 BC_QrSvc('ntosnh.sys');
 BC_QrSvc('ntoss.sys');
 BC_DeleteSvc('asc3550p');
 BC_DeleteSvc('ntosnh.sys');
 BC_DeleteSvc('ntoss.sys');
BC_Activate;
RebootWindows(true);
end.

Если вдруг карантин будет не пустой - пришлите по правилам.

**uceps** · 10.12.2007, 17:16

выполнил все 3 предложенных скрипта.
после 3-го - карантин пустой.
логи после 2го - приатачены.

Спасибо за помощь. На этом все?

**V_Bond** · 10.12.2007, 17:18

еще раз сделайте дополнительный лог ....

**uceps** · 10.12.2007, 17:56

1. доп лог сделал. приатачен
2. после этого выполнил скрипт поиска и нейтрализации Руткитов. лог сохранен и приатачен.

все операции делались в нормал моде под локальным админом.
дальнейшие дествия?

**uceps** · 10.12.2007, 19:06

Будьте добры, подтвердите, что лечение закончено или ...

**V_Bond** · 10.12.2007, 19:10

в логах чисто ....

**uceps** · 10.12.2007, 19:40

ок. спасибо за помощь.

**CyberHelper** · 22.02.2009, 03:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\dllgh8jkd1q5.exe - Packed.Win32.Tibs.em (DrWEB: Trojan.DownLoader.15909)
2. c:\\windows\\system32\\dllgh8jkd1q6.exe - Packed.Win32.Tibs.em (DrWEB: Trojan.DownLoader.19256)
3. c:\\windows\\system32\\dllgh8jkd1q7.exe - Packed.Win32.Tibs.em
4. c:\\windows\\system32\\kernelwind32.exe - Trojan-Downloader.Win32.Tibs.rg (DrWEB: Trojan.DownLoader.19256)
5. c:\\windows\\system32\\lbab0.tmp.exe - Trojan-Downloader.Win32.Tibs.rg (DrWEB: Trojan.DownLoader.19256)
6. c:\\windows\\system32\\l6898.tmp.exe - Trojan-Downloader.Win32.Tibs.rg (DrWEB: Trojan.DownLoader.19256)
7. c:\\windows\\system32\\l7afc.tmp.exe - Trojan.Win32.Small.vp (DrWEB: Trojan.Packed.260)
8. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.ls (DrWEB: BackDoor.Bolg)

lich.sys, trojan.NtRootKit.497 & etc (заявка № 15089)

Опции темы

lich.sys, trojan.NtRootKit.497 & etc

Итог лечения

Похожие темы

Trojan.NtRootKit

Trojan.NtRootkit.453 и Trojan.DownLoader.35206

Trojan.NtRootKit.565

Trojan.NtRootKit.453

Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478

Ваши права в разделе