-
вирус завалил каспера и систему
введение
принесли ноут, сказали что первым симтомом заражения было (с)"дедушка не мог смотреть фильмы"... потом появился 2 симтом, после включения винды выскакивало окно он неисправности svchostа и таймер отщелкивал 60 сек до презагрузки.....
лечение
лечился в безопастном режиме авзтом, гуглей и ледяным мечем
погуглив нашол похожего злавреда в этой теме ВИ
первая фаза лечения прошла удачно после нее удолось нормально загрузить винду.... далее продолжел лечение в обычном режиме.. после третей загрузки ОЖИЛ кис 7 (до этого я думал что на системе нет вообще ни какого АВ, его драйверов даже влогах видно небыло)
прозьба о помощи
хоть система и ожила но следы зверя вней досихпор присутствуют через msconfig видно что в автозапуске остались ссылка на VIDEO...
помогите добить гада
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
еще на мой взгляд этоти драйверы какието подозрительные
zrraszjz.sys
ethoqaug.sys
их гугль не знает
Добавлено через 1 минуту
п/с
бонжур оудалю чуть по позже)
Последний раз редактировалось fotorama; 15.10.2008 в 15:00.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\fenkglqh.exe','');
DeleteService('Wmc96aspqs');
QuarantineFile('Wmc96aspqs.sys','');
DeleteService('ethoqaug');
QuarantineFile('C:\WINDOWS\system32\drivers\ethoqaug.sys','');
DeleteService('ZRRASZJZ');
QuarantineFile('C:\WINDOWS\system32\drivers\ZRRASZJZ.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ZRRASZJZ.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethoqaug.sys');
DeleteFile('Wmc96aspqs.sys');
DeleteFile('C:\WINDOWS\fenkglqh.exe');
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
спс за оперативность сейчас усе зделаю
Добавлено через 14 минут
в карантин поал только ZRRASZJZ.sys
карантин весит 10 метров(((( внего много мусора попало от акробат ридера
грузить все или только
ZRRASZJZ.sys
Добавлено через 2 минуты
залил все
Файл сохранён как 081015_061844_virus_48f5d19432084.zip
Размер файла 10627284
MD5 a8057ffb762038a326c25f5f90a5899b
Последний раз редактировалось fotorama; 15.10.2008 в 15:19.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
r154_144.bat -это что ?
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VPRQRRNU');
DeleteFile('C:\WINDOWS\system32\drivers\VPRQRRNU.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
virusinfo_syscheck.zip повторите
-
-
Сообщение от
V_Bond
r154_144.bat -это что ?
чесно говоря не знаю похоже от сетки пользователя батник если нужно то могу и прислать и опубликовать содержимое
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
-
-
Последний раз редактировалось fotorama; 22.10.2008 в 13:03.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
содержимое батника
Код:
route add 192.168.0.0 mask 255.255.0.0 10.154.144.253
route add 172.16.0.0 mask 255.248.0.0 10.154.144.253
route add 172.24.0.0 mask 255.252.0.0 10.154.144.253
route add 172.28.0.0 mask 255.254.0.0 10.154.144.253
route add 172.30.0.0 mask 255.255.0.0 10.154.144.253
route add 10.0.0.0 mask 255.0.0.0 10.154.144.253
route add 79.120.54.0 mask 255.255.255.0 10.154.144.253
route add 80.87.144.0 mask 255.255.252.0 10.154.144.253
route add 81.211.38.0 mask 255.255.254.0 10.154.144.253
route add 81.211.40.0 mask 255.255.255.0 10.154.144.253
route add 82.138.57.1 mask 255.255.255.255 10.154.144.253
route add 82.148.11.0 mask 255.255.255.0 10.154.144.253
route add 82.148.12.0 mask 255.255.255.0 10.154.144.253
route add 82.148.15.0 mask 255.255.255.192 10.154.144.253
route add 82.148.17.0 mask 255.255.255.0 10.154.144.253
route add 82.148.18.0 mask 255.255.255.0 10.154.144.253
route add 82.148.19.0 mask 255.255.255.240 10.154.144.253
route add 82.148.23.0 mask 255.255.255.0 10.154.144.253
route add 84.23.32.0 mask 255.255.224.0 10.154.144.253
route add 85.192.16.0 mask 255.255.240.0 10.154.144.253
route add 85.192.52.0 mask 255.255.254.0 10.154.144.253
route add 86.111.2.0 mask 255.255.255.0 10.154.144.253
route add 87.118.246.0 mask 255.255.254.0 10.154.144.253
route add 87.118.248.0 mask 255.255.254.0 10.154.144.253
route add 88.210.51.0 mask 255.255.255.0 10.154.144.253
route add 89.191.224.0 mask 255.255.248.0 10.154.144.253
route add 89.20.128.0 mask 255.255.224.0 10.154.144.253
route add 89.191.240.0 mask 255.255.255.0 10.154.144.253
route add 89.208.126.0 mask 255.255.254.0 10.154.144.253
route add 89.222.128.0 mask 255.255.240.0 10.154.144.253
route add 89.222.144.0 mask 255.255.248.0 10.154.144.253
route add 89.222.160.0 mask 255.255.224.0 10.154.144.253
route add 89.222.192.0 mask 255.255.192.0 10.154.144.253
route add 91.192.240.0 mask 255.255.252.0 10.154.144.253
route add 193.125.32.0 mask 255.255.248.0 10.154.144.253
route add 193.125.88.0 mask 255.255.248.0 10.154.144.253
route add 193.125.128.0 mask 255.255.248.0 10.154.144.253
route add 193.125.232.0 mask 255.255.252.0 10.154.144.253
route add 193.125.236.0 mask 255.255.254.0 10.154.144.253
route add 194.6.220.0 mask 255.255.252.0 10.154.144.253
route add 195.90.145.0 mask 255.255.255.0 10.154.144.253
route add 195.90.177.128 mask 255.255.255.128 10.154.144.253
route add 195.225.128.0 mask 255.255.255.0 10.154.144.253
route add 195.225.130.0 mask 255.255.254.0 10.154.144.253
route add 212.1.224.0 mask 255.255.224.0 10.154.144.253
route add 212.5.65.0 mask 255.255.255.0 10.154.144.253
route add 212.5.164.0 mask 255.255.255.0 10.154.144.253
route add 212.118.36.0 mask 255.255.255.240 10.154.144.253
route add 212.118.37.0 mask 255.255.255.0 10.154.144.253
route add 212.118.54.0 mask 255.255.254.0 10.154.144.253
route add 213.141.128.0 mask 255.255.224.0 10.154.144.253
route add 213.145.52.0 mask 255.255.255.0 10.154.144.253
route add 213.148.16.0 mask 255.255.255.224 10.154.144.253
route add 213.148.17.0 mask 255.255.255.0 10.154.144.253
route add 213.148.18.208 mask 255.255.255.248 10.154.144.253
route add 213.148.21.0 mask 255.255.255.0 10.154.144.253
route add 213.148.22.0 mask 255.255.254.0 10.154.144.253
route add 213.148.24.0 mask 255.255.254.0 10.154.144.253
route add 213.148.25.0 mask 255.255.255.0 10.154.144.253
route add 213.148.27.160 mask 255.255.255.224 10.154.144.253
route add 213.148.27.192 mask 255.255.255.240 10.154.144.253
route add 213.148.29.0 mask 255.255.255.192 10.154.144.253
route add 213.208.173.0 mask 255.255.255.0 10.154.144.253
route add 213.208.174.0 mask 255.255.255.0 10.154.144.253
route add 213.219.208.0 mask 255.255.255.0 10.154.144.253
route add 213.219.211.0 mask 255.255.255.0 10.154.144.253
route add 213.219.212.0 mask 255.255.252.0 10.154.144.253
route add 213.219.219.0 mask 255.255.255.0 10.154.144.253
route add 213.219.220.0 mask 255.255.252.0 10.154.144.253
route add 213.247.130.0 mask 255.255.255.0 10.154.144.253
route add 213.247.133.0 mask 255.255.255.0 10.154.144.253
route add 213.247.135.0 mask 255.255.255.0 10.154.144.253
route add 213.247.136.0 mask 255.255.254.0 10.154.144.253
route add 213.247.146.0 mask 255.255.254.0 10.154.144.253
route add 213.247.149.0 mask 255.255.255.0 10.154.144.253
route add 213.247.169.0 mask 255.255.255.0 10.154.144.253
route add 213.247.201.0 mask 255.255.255.0 10.154.144.253
route add 217.70.16.0 mask 255.255.240.0 10.154.144.253
route add 217.78.176.0 mask 255.255.240.0 10.154.144.253
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
F:\autorun.inf -если это ваша флешка ... то больше ничего подозрительного
-
-
да это мой авторанчик
спасибо за помощ
и если не солжно напишите что за зверьки были
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
C:\WINDOWS\system32\drivers\ZRRASZJZ.sys = Rootkit.Win32.Pakes.e (KAV) или Trojan.Sentinel.based (Dr.Web). Больше ничего в карантин не попало.
-
-
Незнание закона не освобождает от ответственности.
Знание - запросто
-