Junior Member
Вес репутации
59
WinReanimator
Здравствуйте, темы про сабж все чаще стали появлятся, но поскольку противопоказанно выполнять чужие скрипты, решил тоже тему создать, да и судя по логам в системе не только он.
Системник принесли на "оживление", как сказали без защиты он был 1.5 месяца, при обычных загрузках синие экраны.. из безопасного прогнал cureit, он удалил 22 трояна.. система стала грузится, но реаниматор на месте.. симптомы аналогичные: утечка трафика, отключение защитного ПО, запуск только с переименованных exe'шников
Скан и подготовку сделал по правилам, логи прилагаю
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\systempro.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\9129837.exe','');
QuarantineFile('C:\Program Files\WinReanimator\WinReanimator.exe','');
QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe','');
BC_DeleteSvc('msupdate');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL','');
QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll','');
QuarantineFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
TerminateProcessByName('80c0ca25.exe');
DeleteFile('80c0ca25.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.exe');
DeleteFile('C:\WINDOWS\system32\.80c0ca25\80c0ca25.core.dll');
DeleteFile('C:\Program Files\WinReanimator\WINREANIMATOR.DLL');
DeleteFile('C:\DOCUME~1\ANATOLY\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Program Files\WinReanimator\WinReanimator.exe');
DeleteFile('C:\WINDOWS\9129837.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\windows\system32\systempro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
Junior Member
Вес репутации
59
карантин прислал, повторяю логи
Вложения
Пофиксите в HijackThis:
Код:
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.nodialup.name/ciuccia.exe
O20 - AppInit_DLLs: cru629.dat
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\braviax.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ! Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
59
сделал, ожил касперский, перестал генерится braviax.exe
логи с новыми базами (прошу прощение, та система без сети, сразу не сообразил просто файлы баз перекинуть)
Вложения
Выполните следующий скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Program Files\WinReanimator\install.exe','');
QuarantineFile('C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe','');
DeleteFile('C:\Program Files\WinReanimator\install.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\ANATOLY\Local Settings\Temporary Internet Files\Content.IE5\LG87PDCT\Installer2[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Новый карантин пришлите по правилам.
Очистите временные файлы IE через "Свойства обозревателя".
I am not young enough to know everything...
Junior Member
Вес репутации
59
сделал, карантин отправил
C:\HONDA\patchv800\EPC_patch\EPC_Patch.exe -чистый...
повторите логи ...
Junior Member
Вес репутации
59
Вложения
Надежные узлы - сами добавляли ?
Junior Member
Вес репутации
59
нет, дело рук троянов скорее всего=)
Тогда пофиксите это:
Код:
O15 - Trusted Zone: www.2mug.com
O15 - Trusted Zone: www.extremeaccess.info
O15 - Trusted Zone: www.nodialup.name
O15 - Trusted Zone: www.sgnappo.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.whatsnew.name
I am not young enough to know everything...
Junior Member
Вес репутации
59
а карантин, кроме EPC_Patch.exe , можно удалить?
Junior Member
Вес репутации
59
зоны пофиксил, жалоб нет, все работает.. хелперам огромное спасибо=)
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 17 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\anatoly\\local settings\\temporary internet files\\content.ie5\\lg87pdct\\installer2[1].exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452) c:\\program files\\winreanimator\\install.exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452) c:\\program files\\winreanimator\\winreanimator.dll - not-a-virus:FraudTool.Win32.Reanimator.d (DrWEB: Trojan.Fakealert.452) c:\\program files\\winreanimator\\winreanimator.exe - not-a-virus:FraudTool.Win32.Reanimator.b (DrWEB: Trojan.Fakealert.452) c:\\windows\\system32\\braviax.exe - Hoax.Win32.Renos.bcz (DrWEB: Trojan.Packed.383) c:\\windows\\system32\\cru629.dat - Backdoor.Win32.Small.cyb (DrWEB: Trojan.Proxy.1739) c:\\windows\\system32\\drivers\\beep.sys - Backdoor.Win32.UltimateDefender.a (DrWEB: Trojan.Fakealert.45 c:\\windows\\system32\\mssrv32.exe - Trojan-Downloader.Win32.Small.srn (DrWEB: Trojan.DownLoader.26661) c:\\windows\\system32\\users32.dat - Trojan.Win32.Zapchast.fo (DrWEB: Trojan.Proxy.3204) c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.Reanimator.a (DrWEB: Trojan.Fakealert.452) c:\\windows\\system32\\.80c0ca25\\80c0ca25.core.dl l - Trojan.Win32.Pakes.chv (DrWEB: Trojan.Virtumod.based.14) c:\\windows\\system32\\.80c0ca25\\80c0ca25.exe - Trojan.Win32.Pakes.chw (DrWEB: Trojan.Virtumod.based.14)