заражены ntoskrnl.exe и wininet.dll
заражены ntoskrnl.exe и wininet.dll
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{C5AC49A2-94F3-42BD-F434-2604812C897D}'); QuarantineFile('h.exe',''); QuarantineFile('C:\WINDOWS\csrss.exe',''); QuarantineFile('C:\WINDOWS\System32\pdmd53hdf.dll',''); QuarantineFile('C:\WINDOWS\System32\msindeo.dll',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\wnset.exe',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winsto.exe',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winlogan.exe',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\svchots.exe',''); QuarantineFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\lsass.exe',''); QuarantineFile('C:\WINDOWS\System32\poof',''); QuarantineFile('C:\WINDOWS\System32\kprof',''); DeleteFile('C:\WINDOWS\System32\kprof'); DeleteFile('C:\WINDOWS\System32\poof'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\lsass.exe'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\svchots.exe'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winlogan.exe'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\winsto.exe'); DeleteFile('C:\DOCUME~1\WORK\LOCALS~1\Temp\wnset.exe'); DeleteFile('C:\WINDOWS\System32\msindeo.dll'); DeleteFile('C:\WINDOWS\System32\pdmd53hdf.dll'); DeleteFile('C:\WINDOWS\csrss.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17673).
I am not young enough to know everything...
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
fkg94fdg.dll - поищите при помощи AVZ и пришлите по правиламКод:O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\System32\msindeo.dll O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe O21 - SSODL: msindeo.dll - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\System32\msindeo.dll
Добавлено через 2 минуты
Необходимо обновиться до SP2 + IE7 + ВСЕ хотфиксы иначе вы наш постоянный клиентPlatform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
C:\WINDOWS\csrss.exe - LDPINCH.E TROJAN
После лечения меняйте ВСЕ пароли
Последний раз редактировалось akoK; 07.02.2008 в 10:58. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
ок, спасибо!
сейчас сделаю
а что таки с ntoskrnl и wininet.dll?
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:HttpSendRequestA (207) перехвачена, метод APICodeHijack.JmpTo[01012C7B]
>>> Код руткита в функции HttpSendRequestA нейтрализован
Функция wininet.dll:HttpSendRequestW (210) перехвачена, метод APICodeHijack.JmpTo[01012A5F]
>>> Код руткита в функции HttpSendRequestW нейтрализован
------и
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=076EC0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
>>> Функция воcстановлена успешно !
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
>>> Функция воcстановлена успешно !
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 0, восстановлено: 4
при каждой перезагрузке одно и то же
Последний раз редактировалось nippler; 07.02.2008 в 18:43.
СПАСИБО!!
Лечение не окончено!
Пришлите карантин!
I am not young enough to know everything...
вот карантин!
Последний раз редактировалось Shu_b; 08.02.2008 в 12:52.
Карантин необходимо присылать
http://virusinfo.info/upload_virus.php?tid=17673
Карантин пуст
Повторите логи
Microsoft Most Valuable Professional in Consumer Security
прислал опять
Зачем опять, если там нет ничего?
Нужны новые логи.
I am not young enough to know everything...
это то что в папке карантин лежит
Добавлено через 38 секунд
это то что в папке карантин лежит
какие новые логи?
syscure и syscheck? ну или как их там
Последний раз редактировалось nippler; 08.02.2008 в 12:55. Причина: Добавлено
Такие же как в первом сообщении. Только новые
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 72
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) nippler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.