Вот мои логи. Самостоятельно побороть эту гадость не в силах. Надеюсь на вас...
Вот мои логи. Самостоятельно побороть эту гадость не в силах. Надеюсь на вас...
Да, богатый зоопарк насобирали
Для начала выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Way22'); SetServiceStart('Way22', 4); StopService('sysvideo32'); SetServiceStart('sysvideo32', 4); QuarantineFile('C:\WINDOWS\system32\mssrv32.exe',''); QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Way22.sys',''); QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe',''); QuarantineFile('C:\WINDOWS\system32\basetcm32.dll',''); QuarantineFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe',''); DeleteFile('C:\Documents and Settings\1\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Way22.sys'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll'); DeleteFile('C:\WINDOWS\system32\mssrv32.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Way22'); BC_DeleteSvc('sysvideo32'); BC_DeleteSvc('msupdate'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18609).
Затем выполните такой скрипт:
Сделайте новые логи.Код:function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
I am not young enough to know everything...
basetcm32.dll - Trojan.Win32.Agent.fxk -свежий, мои поздравления .
cftmon.exe_, spool.exe_ - Trojan-Downloader.Win32.Small.iih,
mssrv32.exe_ - Backdoor.Win32.Kbot.bx,
sysvideo32.dll, winmgt32k.dll - Rootkit.Win32.Agent.vn,
WLCtrl32.dll - Trojan.Win32.Small.agv
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Уф... После первого выполнения кода и перезагрузки выслал карантин куда надо . Во время выполнения следующего кода в AVZ комп вдруг перегрузился (хотя вроде не должен был), и после этого никак не мог загрузить винду. Не помогал ни safe mode, ни откат на последнюю успешную версию загрузки ХР. Бился 2 часа, потом восстановил винду с диска (repair). Сделал новые логи.
Извините за неудобства, видимо для свежей версии зловреда обычный метод не сработал...
Выполните такой скрипт:
Сделайте новый лог syscheck (п.10 правил) и приложите boot_clr.log из папки с AVZ.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Way22\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\System32\drivers\Way22.sys'); BC_DeleteSvc('Way22'); BC_DeleteSvc('sysvideo32'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Way22.sys'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Есть небольшая вероятность, что система откажется грузиться - здесь "Последняя удачная конфигурация" поможет.
I am not young enough to know everything...
Сделал логи. Комп загрузился нормально, только песпроводная мышь не захотела определяться, хотя клавиатура работала нормально. Повторная перезагрузка решила эти проблемы.
Результат положительный, но не окончательный.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('sysvideo32'); SetServiceStart('sysvideo32', 4); DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll'); DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}'); DelWinlogonNotifyByKeyName( 'WLCtrl32'); BC_ImportDeletedList; BC_DeleteSvc('sysvideo32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 1 минуту
В карантине AVZ должен быть удаленный нами C:\WINDOWS\System32\drivers\Way22.sys - пришлите его по правилам, есть вероятность, что это свежая модификация.
Добавлено через 5 минут
И вот этот еще пришлите:
C:\Program Files\Common Files\System\RDPsvc2.exe
подозрительный очень, как-то сразу я не обратил на него внимание.
Последний раз редактировалось Bratez; 25.02.2008 в 14:17. Причина: Добавлено
I am not young enough to know everything...
Запрошенные файлы из карантина выслал. Мои новые логи.
И точно: RDPsvc2.exe - Trojan.Win32.Pakes.ccq.
Выполните такой скрипт:
Повторите два последних лога для контроля.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Common Files\System\RDPsvc2.exe'); BC_DeleteFile('C:\Program Files\Common Files\System\RDPsvc2.exe'); BC_DeleteSvc('RDPsvc2'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Сделал логи... Лишние службы сейчас погашу.
а sysvideo32.dll вылечить не удается?
Выполните такой скрипт:
Пришлите новый карантин по правилам.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\System\ntsvc32k.exe',''); DeleteFile('C:\Program Files\Common Files\System\ntsvc32k.exe'); DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('sysvideo32'); BC_DeleteSvc('ntsvc32k'); BC_Activate; RebootWindows(true); end.
Повторите лог syscheck.
I am not young enough to know everything...
Карантин выслал. Syscheck прилагаю.
На этот раз все чисто.
ntsvc32k.exe - Trojan.Win32.Pakes.ccr
I am not young enough to know everything...
Огромное спасибо за оказанную помощь! Снимаю шляпу.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\1\\local settings\\application data\\cftmon.exe - Trojan-Downloader.Win32.Small.iih (DrWEB: Trojan.DownLoader.4626
- c:\\program files\\common files\\system\\ntsvc32k.exe - Trojan.Win32.Pakes.ccr (DrWEB: Trojan.DownLoader.47247)
- c:\\program files\\common files\\system\\rdpsvc2.exe - Trojan.Win32.Pakes.ccq (DrWEB: Trojan.PWS.LDPinch.2526)
- c:\\program files\\common files\\system\\sysvideo32.dll - Rootkit.Win32.Agent.vn (DrWEB: Trojan.NtRootKit.815)
- c:\\program files\\common files\\system\\winmgt32k.dll - Rootkit.Win32.Agent.vn (DrWEB: Trojan.NtRootKit.815)
- c:\\windows\\system32\\basetcm32.dll - Trojan.Win32.Agent.fxk (DrWEB: Trojan.Okuks.based)
- c:\\windows\\system32\\drivers\\spool.exe - Trojan-Downloader.Win32.Small.iih (DrWEB: Trojan.DownLoader.4626
- c:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.bx (DrWEB: Trojan.DownLoader.35134)
- c:\\windows\\system32\\wlctrl32.dll - Trojan.Win32.Small.agv (DrWEB: BackDoor.Bulknet.157)
- \\sysvideo32.dll - Rootkit.Win32.Agent.adj (DrWEB: Trojan.NtRootKit.847)
- \\winmgt32k.dll - Rootkit.Win32.Agent.adj (DrWEB: Trojan.NtRootKit.847)
Уважаемый(ая) regtv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.