-
Junior Member
- Вес репутации
- 60
Трояны, вирусы, большой исходящий трафик (25ый порт)
Всем доброго дня!
у меня в сети на работе есть компьютер (в домене с правами локального админа ) с которым уже 4 дня борюсь, переставить винду не выход ибо стоит ооооочень старая финансовая программа для работы с базой данных, у которой все ключи и лицензии утерены.
"стоит" avg free edition, на данную минуту не получается ни службу запустить ни просто проверку сделать, попытка поставить любой другой антивирус заканчивается неудачей - он как бы ставиться, но не работает как и avg. Cureit`ом и Avz4 проверил систему как в обычном так и в безопасном режиме, нашли много чего и много чего вылечили (что конкретно не помню), делал востановление системы (из avz), sfc /scannow, но проблемы как были так и остались. Целых 5 гигов за выходные отдал по 25порту... я так полагаю, что от нас спам шел полным ходом (простите если к вам попало )
ах да еще вспомнил, временами появляется над часами мини аларм-окошко типа как у антивирусных программ с оповещением, что найдены трояны и предложением удалить, в карантин и тд, причем ничего такого антивирусного не стоит
буду очень вам признателен за помощь!
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить в HijackThis:
Код:
O2 - BHO: (no name) - {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - (no file)
O2 - BHO: (no name) - {00000012-890e-4aac-afd9-eff6954a34dd} - (no file)
O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file)
O2 - BHO: (no name) - {06dfedaa-6196-11d5-bfc8-00508b4a487d} - (no file)
O2 - BHO: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: (no name) - {1adbcce8-cf84-441e-9b38-afc7a19c06a4} - (no file)
O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file)
O2 - BHO: (no name) - {481fd70a-1dd2-11b2-b034-e7c88bf9a5fd} - C:\WINDOWS\mtorijwb.dll
O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file)
O2 - BHO: (no name) - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - (no file)
O2 - BHO: (no name) - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)
O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file)
O2 - BHO: (no name) - {944864a5-3916-46e2-96a9-a2e84f3f1208} - (no file)
O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file)
O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)
O2 - BHO: (no name) - {bb936323-19fa-4521-ba29-eca6a121bc78} - (no file)
O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file)
O2 - BHO: (no name) - {c4ca6559-2cf1-48b6-96b2-8340a06fd129} - (no file)
O2 - BHO: (no name) - {c5af2622-8c75-4dfb-9693-23ab7686a456} - (no file)
O2 - BHO: (no name) - {ca1d1b05-9c66-11d5-a009-000103c1e50b} - (no file)
O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file)
O2 - BHO: (no name) - {e9147a0a-a866-4214-b47c-da821891240f} - (no file)
O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file)
Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.
Добавлено через 7 минут
Восст. системы все же придется отключить. Наловили очень много, даже не знаю выживет система или нет.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\msyp32.dll','');
QuarantineFile('C:\WINDOWS\szshqleh.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe','');
QuarantineFile('C:\WINDOWS\system32\diperto4398-548c.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tyd38.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ods39.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Ods39.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\452c4a4hpc4a4b.exe');
DeleteFile('C:\DOCUME~1\RADULO~1.RUZ\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\szshqleh.dll');
BC_DeleteFile('C:\WINDOWS\szshqleh.dll');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин через ссылку вверху темы.
Сделать новый комплект логов.
Последний раз редактировалось PavelA; 28.02.2008 в 18:55.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
ого спасибо большое! (у самого такого за 2.5 года работы в IT не было)
завтра буду лечить!
Два антивируса пользы не принесут. НОД надо удалить. Сейчас напишу скрипт для всего остального чего наловили.
а там такая ситуация была, что неполучалось анинсталить авг((
п.с.
если честно не ожидал такой оперативности...
спасибо еще раз.
п.п.с.
как проделаю все выше описанное сразу выложу логи.
-
Junior Member
- Вес репутации
- 60
извеняюсь, что так долго.
Все операции выполнил, логи и карантин прикрепил
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
Низяяя карантин сюда прикладывать!!!
Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
забыл прикрепить лог hijackthis
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Низяяя карантин сюда прикладывать!!!
Нужно загружать через ссылку вверху темы. "Утром деньги - вечером стулья", так и у нас "Карантин загружаем по ссылке -- логи прикрепляем к теме".
эммм.... я видимо не проснулся еще...
ссылку вверху темы имеется ввиду эта:
Прислать запрошенные файлы
если эта, то я так и сделал, а прикреплены только логи, просто не точно написал...
-
Продолжим
Первый шаг:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
DeleteFile('WLCtrl32.dll');
BC_DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если удаляться, то пойдем дальше. М.б. сейчас подправлю скрипт, так что не спеши.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
virusinfo_cure.zip - карантин. Его надо через ссылку загружать.
Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
virusinfo_cure.zip - карантин. Его надо через ссылку загружать.
опс сори... думал нужно папку qurantin зипить и отправлять, сейчас испавлюсь
Добавлено через 7 минут
новы
Добавлено через 2 минуты
новый скрипт выполнил... правда непонятно удалилось ли что-нибудь, все прошло быстро, несколько красных строчек и перезагуз....
Последний раз редактировалось gorex; 04.03.2008 в 11:49.
Причина: Добавлено
-
Сделай лог из п.8, посмотрим прошло или нет.
В карантин попали какие-то pif-файлы, которые я даже не запрашивал.
Симантек сказал, что это Trojan Horse.
Надо их убивать. Просмотри карантин и удали эти пифы с диска.
Последний раз редактировалось PavelA; 04.03.2008 в 12:00.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
пифы удалил, п.8 выполнил, логи прикрепил, а карантин куда надо выслал
Сообщение от
PavelA
Есть, кстати вариант такой: один из антивирусов вырубить скриптом. Тогда лечение пойдет побыстрее.
только заметил, а разве там хоть один антивирус задйствован?
все анинсталены, все службы хоть и висят там остановлены и не запускаются... как же их удалить, даж файлов исполняемых нет?
п.с.
переслал файл карантина
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
Эти пифы - Worm.Win32.Feebs в различных модификациях.
Антивирусы задействованы как модули ядра, да и в Автозапуске они активны.
Автозапуск можно отключить через AVZ.
Все злодеи живы
Выполнить:
Код:
begin
SearchRootkit(false, true);
StopService('Tyd38');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tyd38', 'Start');
RebootWindows(true);
end.
Потом повторить скрипт на удаление из №8
Если ничего не удалиться, то
скачать ... http://www.wasm.ru/baixado.php?mode=tool&id=392
- отключить антивирус и фаервол
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tyd38.sys ... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
затем выполните скрипт из сообщения №8
Затем сделать новый лог из п.8
Последний раз редактировалось PavelA; 04.03.2008 в 14:07.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
а точно C:\WINDOWS\Tyd38.sys (нет такого) а не C:\WINDOWS\Sysetm32\msyp32.dll (он все время в карантине появляется)
-
C:\WINDOWS\System32\Drivers\Tyd38.sys - есть ?
-
-
ТНК V_Bond
Торопился, отвлекали, вот директорию не ту и написал.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
сори, и я поленился поиском воспользоваться... запары навалило
все сделал, и делал под своей учеткой... обнаружились новые вири...
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tyd38\0000', 'CSConfigFlags', '1');
QuarantineFile('E:\Soft\shut.bat','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\system32\msyp32.dll','');
QuarantineFile('C:\WINDOWS\system32\LogCrypt.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\haxkxotw.dll');
DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
DeleteFile('c:\windows\system32\msyp32.dll');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Tyd38.sys');
BC_ImportALL;
BC_DeleteSvc('Tyd38');
BC_DeleteSvc('diperto4398-548c');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
все проделал, выкладываю
п.с.
оффтопик: Maxim, супер подпись! а есть такая с оперой?
Последний раз редактировалось gorex; 04.04.2008 в 17:01.
-
E:\Soft\shut.bat- сами писали батник?
Профиксить в HijackThis:
Код:
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: msyp32.dll - {A08BA39B-1AD4-EF39-78DD-21B1728F6EA7} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AvgTdi');
DeleteService('Avg7RsXP');
DeleteService('Avg7RsW');
DeleteService('Avg7Core');
DeleteService('AMON');
DeleteService('NOD32krn');
DeleteService('AVGEMS');
DeleteService('Avg7UpdSvc');
DeleteService('Avg7Alrt');
DeleteFile('C:\Program Files\Eset\nod32krn.exe');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgemc.exe');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\amon.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\avg7core.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsw.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\avg7rsxp.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\avgtdi.sys');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgcc.exe');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avgw.exe');
DeleteFile('C:\Program Files\Eset\nod32kui.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
-