Junior Member
Вес репутации
60
Троян
Через ИЕ зашёл на какой-то сайт (сейчс не хочу смотреть историю на какой) , видимо на автомате скачался вирус. Сначала заметил незнакомый екзе на рабочем столе (ieupd2.exe) , потом стала лезть мишура : на рабочий стол поставилась обоина с ссылкой на какойто сайт (само сообщение на рабочем столе вроде "На вашем компьютере найден вирус , перейдите по ссылке чтобы просканировать его") , и справа внизу (я ламер , трей что ли называется)) появляются рандомные сообщения с почти тем же содержанием и ссылкой (адрес сайта antispywareupdate.net). Не даёт восстановить или открыть процессы средствами Винды. Панель управления вроде полностью рабочая.
Делаю логи по инструкции , в случае с пунктом 8 получается то что я приложил , с пунктом 10 - вообще ничего в папке LOG.
Вложения
Последний раз редактировалось XBocT; 13.02.2008 в 22:40 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нужны логи AVZ (Вы прикрепили карантин) - они основные.
Junior Member
Вес репутации
60
Эм , проблема с вирусом перешла в проблему с логами AVZ...
Попробуйте выполнить в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин согласно приложению 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=18014
Профиксите
Код:
F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,C:\WINDOWS\system32\rxjddnvj.exe,
O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Удалите ConnectionServices - это адваре.
Попробуйте выполнить все логи.
Последний раз редактировалось wise-wistful; 14.02.2008 в 01:43 .
Junior Member
Вес репутации
60
Скрипт выполнил , папку ConnectionServices удалил , необходимые строки в хиджаке пофиксил. Логи по стандартным скриптам 2 - не делается , 3 - создаётся папка virusinfo_cure.zip , её выслал.
Сделайте ещё раз hijackthis.log
Добавлено через 1 минуту
АВЗ переименовывать пробывали?
Последний раз редактировалось wise-wistful; 14.02.2008 в 15:52 .
Причина: Добавлено
Junior Member
Вес репутации
60
Переименовывал. Лог Хиджака скидывать как прикрепление или в отправлять?
Приктирипите здесь. Посылать по ссылке вверху страницы только карантин.
Junior Member
Вес репутации
60
Вложения
Почти все на месте. Попробуем такой скрипт в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('c:\windows\system32\wmedia32.exe');
BC_DeleteFile('c:\windows\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('partnershipreg');
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Профиксите
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\rxjddnvj.exe,
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
Поищите при помощи АВЗ Сервис--поиск файлов на диске TjEnder.exe и LogCrypt.dll пришлите по правилам
АВЗ в защищённом режиме работает?
Junior Member
Вес репутации
60
Как включить защищённый режим?
Судя по всему скрипт не выполнился - где то на половине комп перезагрузился.
LogCrypt.dll (лежал в system32) отправил , TjEnder.exe не нашёл.
Последний раз редактировалось XBocT; 14.02.2008 в 17:31 .
Как включить защищённый режим?
При загрузке нажимать F8 - выбрать Safe mode
Добавлено через 32 секунды
Скрипт тоже попробуйте в безопасном режиме выполнить...
Последний раз редактировалось rubin; 14.02.2008 в 18:29 .
Причина: Добавлено
Junior Member
Вес репутации
60
Скрипт в безопасном режиме выдал [invalid data for '']. Срипты для логов также не работают.
Эмм , тяжёлый случай?
Апд : Вирус перестал подавать признаки работы. winlagons.exe пропал из процессов. Исчезли сообщения об необходимости сканирования. Обои на столе не меняются. Осталось сообщение в експлорере при переходе от папки к папке.
Последний раз редактировалось XBocT; 14.02.2008 в 19:17 .
Код:
begin
QuarantineFile('C:\WINDOWS\SYSTEM32\LogCrypt.dll','');
QuarantineFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagons.exe','');
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('C:\WINDOWS\system32\rxjddnvj.exe','');
DeleteFile('c:\windows\system32\wmedia32.exe');
BC_DeleteFile('c:\windows\system32\wmedia32.exe');
DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\rxjddnvj.exe');
BC_DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_DeleteFile('C:\DOCUME~1\1122\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteSvc('partnershipreg');
BC_DeleteSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
А так в безопасном режиме?
Junior Member
Вес репутации
60
rxjddnvj.exe пропал из system32
АПД: Последний скрипт в безопасном выдал ту же ошибку. Последняя запись в протоколе - Удаление каких-то остаточных файлов.
Ещё АПД: Пофиксились строки из постов 4 и 10 , которые раньше сами восстанавливались.
Добавлено через 40 минут
Появился пароль на пользователе 1122.
Последний раз редактировалось XBocT; 14.02.2008 в 20:05 .
Причина: Добавлено
Повторите лог посмотрим, что осталось
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Вложения
Попробуйте создать логи в AVZ (если получаться)
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
Логи из АВЗ не получаются (в безопасном тоже).
Давайте так
http://virusinfo.info/showpost.php?p=80604&postcount=2
С помощью хиджака попытайтесь удалить службы
Google Online Search Service
FCI
Добавлено через 10 минут
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
BC_QrFile('C:\WINDOWS\system32\mmmoxnox.dll ');
BC_QrFile('C:\WINDOWS\system32\winlagons.exe');
BC_QrFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\WINDOWS\system32\mmmoxnox.dll');
BC_DeleteFile('C:\WINDOWS\system32\winlagons.exe');
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_QrSvc('FCI');
BC_QrSvc('Google Online Search Service');
BC_DeleteSvc('FCI');
BC_DeleteSvc('Google Online Search Service');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18014
Добавлено через 2 минуты
Повторите логи (может даже AVZ запуститься)
Выполните перед созданием логов
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ExecuteRepair(12);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Последний раз редактировалось akoK; 14.02.2008 в 20:40 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security