а также по 6(tcp) protokol 25(smtp) Dst.port
рассылается "спам" по 17(udp) protokol и 53(dns)Dst.port
а также по 6(tcp) protokol 25(smtp) Dst.port
Последний раз редактировалось AlexKlo; 04.03.2008 в 18:31.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
CureIT проверить не удаётся ,после нажатия "старт" комп перегружается
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_QrFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_QrFile('C:\WINDOWS\system32\Drivers\Fkp62.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\Jnq52.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\Vqi35.sys'); BC_QrFile('C:\WINDOWS\System32\CcEvtSvc.exe'); BC_QrFile('C:\WINDOWS\system32\winlagan.exe'); BC_QrFile('C:\WINDOWS\system32\Drivers\asc3550p.sys'); BC_QrFile('C:\WINDOWS\system32\Drivers\diperto6ff4-a8c.sys'); BC_QrFile('C:\WINDOWS\system\hipsrv.mm'); BC_QrFile('C:\WINDOWS\system32\Drivers\NdisWon.sys'); BC_QrFile('C:\WINDOWS\system32\taskmon.sys'); BC_QrFile('C:\WINDOWS\system32\ctfmona.exe'); BC_QrFile('C:\WINDOWS\system32\rpcc.dll'); BC_QrFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe'); BC_QrFile('C:\WINDOWS\temp\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Fkp62.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Jnq52.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Vqi35.sys'); BC_DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); BC_DeleteFile('C:\WINDOWS\system32\winlagan.exe'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\diperto6ff4-a8c.sys'); BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\NdisWon.sys'); BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys'); BC_DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); BC_DeleteFile('C:\WINDOWS\system32\rpcc.dll'); BC_DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe'); BC_DeleteFile('C:\WINDOWS\temp\winlogon.exe'); BC_DeleteSvc('taskmon.sys'); BC_DeleteSvc('NdisWon'); BC_DeleteSvc('hipsrv'); BC_DeleteSvc('diperto6ff4-a8c'); BC_DeleteSvc('asc3550p'); BC_DeleteSvc('Vqi35'); BC_DeleteSvc('Fkp62'); BC_DeleteSvc('Jnq52'); BC_DeleteSvc('Google Online Search Service'); BC_DeleteSvc('CcEvtSvc'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19120).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Файл сохранён как080304_055419_2008-03-04_47cd386bbe378.zipРазмер файла215708MD52c04c2f6670483b34941ae6c69b89f60
Trojan-Downloader.Win32.Agent.kfd C:\WINDOWS\System32\CcEvtSvc.exe
Trojan-Downloader.Win32.Winlagons.ag C:\WINDOWS\system32\winlagan.exe
Trojan.Win32.Agent.gauC:\WINDOWS\system\hipsrv.mm
Trojan-Proxy.Win32.Saturn.ab C:\WINDOWS\system32\Drivers\NdisWon.sys
not-a-virus:Downloader.Win32.WinFixer.ed C:\WINDOWS\system32\ctfmona.exe
Email-Worm.Win32.Zhelatin.vu C:\WINDOWS\system32\n2ewma1xxsv2234.exe
Trojan-Proxy.Win32.Dlena.en C:\WINDOWS\system32\rpcc.dll
Последний раз редактировалось Макcим; 04.03.2008 в 15:09.
только один. комп перегружается
Последний раз редактировалось AlexKlo; 04.03.2008 в 18:31.
Отключите антивирус.
Выполните поочередно два скрипта:
Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Fkp62', 'Start'); BC_QrFile('C:\WINDOWS\System32\drivers\Fkp62.sys'); BC_DeleteSvc('Fkp62'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Fkp62.sys'); BC_Activate; RebootWindows(true); end.После каждого будет перезагрузка.Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Vqi35', 'Start'); BC_QrFile('C:\WINDOWS\System32\drivers\Vqi35.sys'); BC_DeleteSvc('Vqi35'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Vqi35.sys'); BC_Activate; RebootWindows(true); end.
Затем сделайте еще раз лог syscheck.
I am not young enough to know everything...
после 2-х скриптов
syscheck
Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.
Один удалился, надо будет повторить первый скрипт из сообщения
Bratez.
Выполнить скрипт:
Там еще вот этот есть C:\WINDOWS\system32\WLCtrl32.dll, но его будем след. заходом убивать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ctfmona.exe',''); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); DeleteFile('C:\WINDOWS\system32\rpcc.dll'); DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
повторил первый из двух и выполнил последний
24.8кб
Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.
скачать C:\WINDOWS\system32\WLCtrl32.dll ,C:\WINDOWS\system32\Drivers\Fkp62.sys - force delete
выполните скрипт ... авз
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Fkp62.sys'); BC_DeleteSvc('Fkp62'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
логи
Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.
"Восст. системы" надо отключить!!!
Не надо карантин сюда прикладывать, даже пустой.
После методов V_Bond почти все умерли.
Дочищаем:
Если, что-то попадет в карантин, то загрузить через ссылку вверху темы.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\SysCleaner\com\scsdelete.dll',''); DeleteFile('WLCtrl32.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось PavelA; 04.03.2008 в 20:37.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
простите,увидел архив и прилепил
машина уже не лезит в инет , можно ли примениль скрипты к другим машинам,у меня ещё 2 таких, ломятся по указанным в самом начале портам
НЕТ!! Там могут быть файлы с другими именами.
Нужна отдельная тема для каждой машины.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо,если получится завтра продолжим с другими
что по данному случаю ??
конечно продолжим ...
по данному случаю нужны логи ..
2 лога
Последний раз редактировалось AlexKlo; 05.03.2008 в 17:24.
в логах чисто... не плохо бы еще остатки симантека дочистить ...
Уважаемый(ая) AlexKlo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
