W32.Rahack

По этой инструкции http://securityresponse.symantec.com...32.rahack.html вроде вычистил торяна, но после него остались exe-шники
Стоит только войти в в папку в которой есть эти гады (exe-шники), и тут же опять происходит заражение. Чем можно почистить комп от этой гадости ?!?

[Geser]

Антивирусом?

[Minos]

Антивирусом, в безопасном режиме, а лучше вообще из консоли.

Norton Antivirus ничего странного в них не находит
база от 05.01.05г.
Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...

[Geser]

Norton Antivirus ничего странного в них не находит
база от 05.01.05г.
Хотя когда происходит инфицирование, он ругается и помещает что то в карантин...

Тогда http://virusinfo.info/index.php?boar...ay;threadid=20
А вообще Нортон далеко не лучший антивирус.

AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а

[Geser]

AVZ тоже не нашел ничего странного в exe-шниках оставшихся после Rahack`а

А там разве не написано что если не поможет нужно логи сделать?

Сорри

Logfile of HijackThis v1.99.0
Scan saved at 10:50:59, on 12.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FireBird\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MZ Arhivator\saviour.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUALL.EXE
D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ya.ru
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E722059-B4D9-4C58-BD6D-5AED5CF73478}: NameServer = xx.xx.xx.xx,xx.xx.xx.xx
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel PDS - Unknown - C:\WINNT\System32\cba\pds.exe (file missing)
O23 - Service: Firebird Server - Unknown - C:\Program.exe (file missing)
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Remote Administrator Service - Unknown - C:\WINNT\System32\r_server.exe

StartupList report, 12.01.2005, 10:51:18
StartupList version: 1.52.2
Started from : D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v5.00 SP4 (5.00.2920.0000)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\FireBird\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MZ Arhivator\saviour.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
D:\Distr\Agency_NEW\Distrib\hijackthis\HijackThis. exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\nik\Start Menu\Programs\Startup]
MZ Архиватор.lnk = C:\Program Files\MZ Arhivator\saviour.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Start Menu\Programs\Startup]
Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

IgfxTray = C:\WINNT\system32\igfxtray.exe
HotKeysCmds = C:\WINNT\system32\hkcmd.exe
vptray = C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APPE /CALLER:WINNT /user /install

[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINNT\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

[WebBasedClientInstall Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\WebInst.Dll
CODEBASE = file://C:\Program Files\SAV\clt-inst\WEBINST\webinst.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

AFD Networking Support Environment: \SystemRoot\System32\drivers\afd.sys (autostart)
Alerter: %SystemRoot%\System32\services.exe (autostart)
Computer Browser: %SystemRoot%\System32\services.exe (autostart)
DefWatch: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe (autostart)
Distributed File System: %SystemRoot%\system32\Dfssvc.exe (autostart)
DHCP Client: %SystemRoot%\System32\services.exe (autostart)
Logical Disk Manager: %SystemRoot%\System32\services.exe (autostart)
DNS Server: %SystemRoot%\System32\dns.exe (autostart)
DNS Client: %SystemRoot%\System32\services.exe (autostart)
Event Log: %SystemRoot%\system32\services.exe (autostart)
Intel PDS: C:\WINNT\System32\cba\pds.exe (autostart)
Firebird Server: C:\Program Files\FireBird\bin\ibserver -s (autostart)
Server: %SystemRoot%\System32\services.exe (autostart)
Workstation: %SystemRoot%\System32\services.exe (autostart)
License Logging Service: %SystemRoot%\System32\llssrv.exe (autostart)
TCP/IP NetBIOS Helper Service: %SystemRoot%\System32\services.exe (autostart)
Messenger: %SystemRoot%\System32\services.exe (autostart)
Distributed Transaction Coordinator: C:\WINNT\System32\msdtc.exe (autostart)
NAVAPEL: \??\C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAPEL.SYS (autostart)
Symantec AntiVirus Client: C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe (autostart)
Removable Storage: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC Policy Agent: %SystemRoot%\System32\lsass.exe (autostart)
Protected Storage: %SystemRoot%\system32\services.exe (autostart)
Remote Registry Service: %SystemRoot%\system32\regsvc.exe (autostart)
Remote Procedure Call (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
Remote Administrator Service: "C:\WINNT\System32\r_server.exe" /service (autostart)
Security Accounts Manager: %SystemRoot%\system32\lsass.exe (autostart)
Task Scheduler: %SystemRoot%\system32\MSTask.exe (autostart)
RunAs Service: %SystemRoot%\system32\services.exe (autostart)
System Event Notification: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Print Spooler: %SystemRoot%\system32\spoolsv.exe (autostart)
Still Image Service: %systemroot%\system32\stisvc.exe (autostart)
Terminal Device Driver: \SystemRoot\System32\drivers\termdd.sys (autostart)
Terminal Services: %SystemRoot%\System32\termsrv.exe (autostart)
Distributed Link Tracking Client: %SystemRoot%\system32\services.exe (autostart)
Windows Management Instrumentation: %SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

на сколько я понял Rahack`а больше на машине нет, от него остались только exe-шники которые не вытирают ни NAV ни AVZ
Руками вытирать - не вариант ...

[pig]

Вот этих не знаю:
C:\WINNT\System32\r_server.exe (видимо, сам RAdmin?)
C:\Program Files\MZ Arhivator\saviour.exe
Завернить в архив с паролем virus и отошлите на [email protected]

У вас там терминальный сервер установлен?

Это свои
первый - Radmin мой
второй - типа бакапер
установлен терминальный клиент...
exe-шник оставшийся от Rahack`а скинуть на мыло?

[Geser]

exe-шник оставшийся от Rahack`а скинуть на мыло?

Давай

[Geser]

Кстати, а что за папка с зараженными файлами? Там только зараженные, или чистые тоже есть?

Он создет exe-шники рядом с нормальной html`кой с таким же значком
При запуске html`ки запускается exe и происходит инфицирование

Exe выслал

[Geser]

Комп домашний? Если да, то очень советую сменить антивирус. На файлик посмотрим. Возможно Олег добавит детектирование в АВЗ, и можно будет им почистить.

Комп рабочий, NA корпоративный
А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
думаю лучше firewall накатить, хоть в следующий раз может поможет

[Geser]

Комп рабочий, NA корпоративный
А какой посоветуете? AVP кажется мне тяжелым, Dr.Web - не внушает доверия ...
думаю лучше firewall накатить, хоть в следующий раз может поможет

AVP тяжелый, но вопрос что важнее, скорость или безопасность.
Dr.Web очень неплох, хотя бывают иногда некоторые глюки.
В общем это лидеры по обеспечению безопасности. Из остальных, насколько я могу судить, неплохи Битдефендер и НОД
firewall не предотвражает заражения (кроме сетевых червей). Единственное что, он может помешать трояну отправить информацию с компа. Но не всегда.

Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.

[Geser]

Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.

Я думаю Олег добавит в АВЗ, можно будет им и почистить.

[Minos]

Дык а чем exe-шники погрохать то ??? ???
а то страшно сохраненные html-ки открывать.

Смени значек для HTML на какой нибудь не стандартный, а еще лучше браузер (если это не противоречет политике предприятия), В результате будеш точно разлечать своих и чужих.