Junior Member
Вес репутации
59
Pandex или Backdoor троян или ваще все что угодно
Здраствуйте, обращаюсь к вам в первый раз.
Суть проблемы, на компе с вин2К, втянутый в домен, и с корпоративным самантеком, появились по жалобам пользователя всякие глюки. Каждые несколько минут возникало сообщение самантека на инфецированный файл, которого на самом деле не существовало, при этом он ругался то на Пандекс, троян, то потом на Бакдоор, в процессе получения логов, стал ругатся еще на что-то. Что характерно сразу после загрузки винды, курсор мыши начинал постоянно и неприятно мигать курсосом с песочными часами.
Все нужные файлы прилагаются. Очень прошу помочь, ибо саматек пробему не решает, а утилита доктор веба, даже не запускается.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для статистики сообщите: версия Симантека программы и сканера, а также версия баз.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
У Вас версия AVZ 4.29 - старая, скачайте новую 4.30. Отключите восстановление системы, как написано в правилах. Отключите антивирус перед выполнением скрипта.
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\yofv232.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\WINNT\system32\WLCtrl32.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINNT\aromis.exe','');
QuarantineFile('C:\WINNT\TEMP\27C4.tmp.exe','');
QuarantineFile('C:\S87ekhV.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\Default User\cftmon.exe','');
QuarantineFile('C:\WINNT\System32\Drivers\Oyt60.sys','');
QuarantineFile('C:\WINNT\System32\Drivers\Dnd22.sys','');
QuarantineFile('C:\Documents and Settings\emitichkina.CAMPUS.001\ie_updates3r.exe','');
QuarantineFile('C:\WINNT\system32\wjcstd32.dll','');
QuarantineFile('C:\WINNT\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('c:\winnt\system32\drivers\spools.exe','');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\WINNT\system32\wjcstd32.dll');
DeleteFile('C:\Documents and Settings\emitichkina.CAMPUS.001\ie_updates3r.exe');
DeleteFile('C:\WINNT\System32\Drivers\Dnd22.sys');
DeleteFile('C:\WINNT\System32\Drivers\Oyt60.sys');
DeleteFile('C:\S87ekhV.exe');
DeleteFile('C:\WINNT\TEMP\27C4.tmp.exe');
DeleteFile('C:\WINNT\aromis.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINNT\System32\WLCtrl32.dll');
DeleteFile('C:\WINNT\system32\drivers\spools.exe');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
DelBHO('{3348D07C-7C5C-D2C4-CFBA-A47F82347C8B}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Oyt60');
BC_DeleteSvc('Dnd22');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи.
Последний раз редактировалось kps; 08.04.2008 в 12:35 .
Junior Member
Вес репутации
59
Сообщение от
PavelA
Для статистики сообщите: версия Симантека программы и сканера, а также версия баз.
версия самантека Full version 10.1.5.5000
сканера 71.4.0.15
баз 07.04.2008 rev 2
Сообщение от
kps
Отключите восстановление системы, как написано в правилах.
у вас в факе написанно про ХП, МЕ. По 2К, нету, а там механизм судя по всему отличается от выше перечисленных.
Отключите антивирус, выполните скрипт выше в новой версии AVZ 4.30 (если еще не выполнили) и пришлите карантин.
Для Win2k отключение восстановления системы не предусмотрено - пропустите этот шаг.
I am not young enough to know everything...
Ядро Симантека только старое, а так все актуальное. Не должен он такое пропускать, видать Ваши системщики плоховато его настроили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
эээ, после выполнения скрипта, и перезагрузки, у меня теперь вобще никакие приложения не открываются, в том числе и AVZ. Только эксплорер стартует, на все остальное ругается, что не может найти файл, который я собно запускаю
Скопируйте нижеприведенный код в текстовый файл с расширением .inf
Код:
[Version]
Signature="$Chicago$"
Provider=Symantec
[DefaultInstall]
AddReg=UnhookRegKey
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
На больной машине нажмите этот файл правой кнопкой и выберите "Установить".
Запуск программ должен нормализоваться.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Ок, карантин загрузил, сейчас сделаю новые логи
Junior Member
Вес репутации
59
Вот новые.
При работе их получения, самантек выругался один раз на бекдор
Вложения
Из Вашего карантина -
C:\WINNT\system32\yofv232.exe - Trojan.Win32.BHO.bgf
C:\WINNT\system32\WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.ci
C:\WINNT\aromis.exe - Email-Worm.Win32.Zhelatin.ww
C:\Documents and Settings\Администратор\cftmon.exe - Worm.Win32.Socks.au
C:\Documents and Settings\Default User\cftmon.exe - Worm.Win32.Socks.au
C:\WINNT\system32\wjcstd32.dll - Trojan.Win32.BHO.bgf
C:\WINNT\system32\drivers\spools.exe - Worm.Win32.Socks.au
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll - Trojan-Proxy.Win32.Xorpix.ds
c:\autoex.dll - not-a-virus:AdWare.Win32.BHO.ajq
Большинство удалено, что осталось удалим, но сначала проверим еще кое-что, а после того как пришлете еще один карантин, удалим всю оставшуюся гадость сразу.
Отключите антивирус.
Выполните скрипт в AVZ :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Installer\{ECE0113B-23D0-4DD8-89E6-D2F026CABF03}\ACDSeeDesktopShortcu_ECE0113B23D04DD889E6D2F026CABF03.exe','');
QuarantineFile('C:\WINNT\Installer\240fb.msi','');
QuarantineFile('C:\WINNT\msiutil.exe','');
QuarantineFile('sglfb.sys','');
QuarantineFile('deckzpsx.sys','');
QuarantineFile('C:\WINNT\system32\msdvdr.pif','');
QuarantineFile('C:\Documents and Settings\emitichkina.CAMPUS.001\cftmon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).
Junior Member
Вес репутации
59
Спасибо ребят! Рабочий день уже кончается, тогда уж завтра добью заразу =)
Всем ОГРОМНОЕ спасибо за участие.
Только сами лучше не добивайте, а с помощью наших скриптов (когда пришлете карантин после скрипта из поста номер 12 - я напишу скрипт для удаления оставшейся заразы).
Junior Member
Вес репутации
59
Выполнил скрипт-отправил карантин. Самантек все еще ругается на какие-то вирусы, говоря, что все удалил.
Отключите антивирус.
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\docume~1\emitic~1.001\locals~1\temp\1db9.tmp');
DeleteFile('c:\documents and settings\emitichkina.campus.001\cftmon.exe');
DeleteFile('C:\WINNT\system32\msdvdr.pif');
DeleteFile('C:\WINNT\system32\msdvdr.sys');
DeleteFile('C:\Documents and Settings\Default User\cftmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\cftmon.exe');
DeleteFile('C:\WINNT\system32\drivers\spools.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msdvdDrv');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
Последний раз редактировалось kps; 09.04.2008 в 13:57 .
Причина: Добавлено
Junior Member
Вес репутации
59
Не могу выложить третий логк, ибо утилита HijackThis перестала запускаться.
Вложения
Неудивительно, что не запускается, у Вас столько гадости наплодилось.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Отключите антивирус, очистите временные папки Temp и кеш интернета.
Затем выполните скрипт в AVZ :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('R:\autorun.inf','');
QuarantineFile('C:\WINNT\system32\kwpm.dll','');
QuarantineFile('C:\WINNT\system32\624855\624855.dll','');
QuarantineFile('C:\WINNT\system32\ccmsetup\ccmsetup.exe','');
QuarantineFile('C:\WINNT\winself.exe','');
QuarantineFile('C:\WINNT\system32\wmsdkns.exe','');
QuarantineFile('C:\WINNT\system32\ddacfcedbfd.dll','');
QuarantineFile('c:\winnt\system32\wmsdkns.exe','');
QuarantineFile('c:\winnt\winself.exe','');
DeleteFile('C:\WINNT\msiutil.exe');
DeleteFile('C:\WINNT\system32\ddacfcedbfd.dll');
DeleteFile('C:\WINNT\system32\wmsdkns.exe');
DeleteFile('C:\WINNT\winself.exe');
DeleteFile('Rrw54.sys');
DeleteFile('C:\WINNT\system32\DRIVERS\Rrw54.sys');
DeleteFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\load2.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINNT\system32\WLCtrl32.dll');
DeleteFile('C:\WINNT\system32\624855\624855.dll');
DeleteFile('C:\WINNT\system32\kwpm.dll');
DeleteFile('C:\WINNT\system32\yofv232.exe');
DelBHO('{ffff0001-0002-101a-a3c9-08002b2f49fb}');
DelBHO('{fc3a74e5-f281-4f10-ae1e-733078684f3c}');
DelBHO('{cf021f40-3e14-23a5-cba2-717765728274}');
DelBHO('{9c5b2f29-1f46-4639-a6b4-828942301d3e}');
DelBHO('{965a592f-8efa-4250-8630-7960230792f1}');
DelBHO('{8674aea0-9d3d-11d9-99dc-00600f9a01f1}');
DelBHO('{622cc208-b014-4fe0-801b-874a5e5e403a}');
DelBHO('{5fa6752a-c4a0-4222-88c2-928ae5ab4966}');
DelBHO('{5dafd089-24b1-4c5e-bd42-8ca72550717b}');
DelBHO('{5929cd6e-2062-44a4-b2c5-2c7e78fbab38}');
DelBHO('{4e7bd74f-2b8d-469e-92c6-ce7eb590a94d}');
DelBHO('{4e1075f4-eec4-4a86-add7-cd5f52858c31}');
DelBHO('{15651c7c-e812-44a2-a9ac-b467a2233e7d}');
DelBHO('{13197ace-6851-45c3-a7ff-c281324d5489}');
DelBHO('{0E9A703A-D3D3-4663-9DDB-8558A4EB46AB}');
DelBHO('{03C59006-FF31-11DC-A920-7C3956D89593}');
DelBHO('{00000250-0320-4dd4-be4f-7566d2314352}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Rrw54');
BC_DeleteSvc('MSSysInterv');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21195 ).
Сделайте новые логи.
Последний раз редактировалось kps; 09.04.2008 в 21:37 .
Причина: Добавлено
Junior Member
Вес репутации
59
Вложения
Уже стало гораздо лучше.
Выполните скрипт в AVZ :
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\Installer\240fb.msi','');
QuarantineFile('R:\media.exe','');
QuarantineFile('C:\WINNT\msiutil.exe','');
QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
QuarantineFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\7E8A.tmp.exe','');
QuarantineFile('C:\WINNT\System32\Drivers\Qlq00.sys','');
DeleteFile('C:\WINNT\System32\Drivers\Qlq00.sys');
DeleteFile('C:\DOCUME~1\EMITIC~1.001\LOCALS~1\Temp\7E8A.tmp.exe');
DeleteFile('C:\WINNT\msiutil.exe');
DelCLSID('Microsoft Windows Visual V2.0');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Qlq00');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин.
Пофиксите в HijackThis :
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINNT\
O20 - Winlogon Notify: WLCtrl32 - C:\WINNT\
Сделайте новые логи.
Вот это Вам знакомо?
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = campus.muh.ru
Последний раз редактировалось kps; 10.04.2008 в 11:36 .
Причина: Добавлено