-
Junior Member
- Вес репутации
- 57
Поселился барабашка, помогите выгнать
Здравствуйте.
Симптомы:
1. при использовании браузера компьютер уходи на перезагрузку со словами "процесс services.exe неожиданно прекратил работу с кодом 128"
2. Помимо моей воли открываются шары на диски C$ , D$ , и на папку виндовс admin$ (этот админ меня больше всего раздражает)
3. пропала сейф мода, ваша программа не помогает.
Честно пытался сам победить болячку, но в этот раз "тяму" не хватает, рассчитываю на вашу помощь.
Спасибо.
Последний раз редактировалось koba; 08.09.2010 в 10:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('serv454.exe','');
QuarantineFile('mssmppp.exe','');
QuarantineFile('hqdhal.exe','');
QuarantineFile('C:\WINNT\system32\cpssp.dll','');
QuarantineFile('c:\huadio.tmp','');
QuarantineFile('C:\Documents and Settings\1\Application Data\hidires\m_hook.sys','');
QuarantineFile('C:\WINNT\TWAIN_32\S12U16K\Ps2Dspi.DLL','');
DeleteFile('C:\Documents and Settings\1\Application Data\hidires\m_hook.sys');
DeleteFile('c:\huadio.tmp');
DeleteFile('C:\WINNT\system32\cpssp.dll');
DeleteFile('hqdhal.exe');
DeleteFile('mssmppp.exe');
DeleteFile('serv454.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин в соответствии с правилами и повторите логи.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 57
Оперативность потрясает!
Вот -
Последний раз редактировалось koba; 08.09.2010 в 10:37.
-
Правила читайте, как запрошенный карантин присылать!
-
-
Junior Member
- Вес репутации
- 57
Прошу прощения, не воспользовался спец ссылкой. Просто при первой попытки отправки, комп опять в ребут поехал. Во второй раз уже просто торопился. Продублировать?
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Ratidi');
QuarantineFile('Ratidi.sys','');
QuarantineFile('c:\winnt\system32\mdm.exe','');
DeleteFile('Ratidi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Теперь падает с надписью lsass.exe код 128.
Все какое то разнообразие.
Последний раз редактировалось koba; 08.09.2010 в 10:37.
-
Junior Member
- Вес репутации
- 57
Посидел, подумал.
Прибил mdm.exe в system32. Вроде как стало лучше, вырубаться перестал. По крайней мере пока все ровно.
Посмотрите пожалуйста, есть еще что подозрительного?
Последний раз редактировалось koba; 08.09.2010 в 10:37.
-
mdm.exe_ - Backdoor.Win32.IRCBot.gqg
Зря вы его руками удалили, мы бы скриптом грохнули и реестр зачистили.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\csrcs.exe ',' ');
TerminateProcessByName('c:\winnt\system32\csrcs.exe');
DeleteFile('c:\winnt\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Я hijackthis-ом почикал ссылки в реестре, 3 штуки было.
карантин выслал, логи креатятся.
Кстати, левая сетевая активность на нет сошла после последнего скрипта.
Потихоньку я в чувство прихожу, думал придется с белого листа начинать все.
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось koba; 08.09.2010 в 10:37.
-
FlashGet удалите, его сервера взломаны...
Это у вас что?
Код:
C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\hidden.bat
-
-
Junior Member
- Вес репутации
- 57
Это батник прикрывающий шары.
Про флешгет понял.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\csrcs.exe - Net-Worm.Win32.Kolabc.bfy (DrWEB: Win32.HLLW.MyBot)
- c:\\winnt\\system32\\mdm.exe - Backdoor.Win32.IRCBot.gqg (DrWEB: BackDoor.IRC.Rxbot.26)
-