-
Junior Member
- Вес репутации
- 53
Не могу обнаружить троян отрубающий инет + звери в C:\WINDOWS\system32\i
Здравствуйте, проблема в следующем, поймал заразу.
Симптомы: Выбивает ошибку General Host Process for Win32 Services, с последующим вылетанием Инета (pppoe) и вырубанием\искривлением Windows Blinds (Возможно и просто темы), после ручного подключения к инету, отказывается пинговать внешку, хотя подключение происходит нормально.
Так же нашел пачку зверей C:\WINDOWS\system32\i, антивирусом убиваются но самовостонавливаются.
Просканил AVP8 почистил все что можно проблема осталась, последний CureIt в безопасном режиме ничего не находит.
Файлы логов прилагаются, если что не так сильно не судите, первый пост на вашем форуме.
3 Сутки уже бьюсь с ним... =(
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузитевсепрограммыкроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\FYDDOS.dll','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\System32\FYDDOS.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\W32Time\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
-
В логах чисто, что с проблемой?
Файл hots сами правили? Если нет, то выполните такой скрипт
Код:
begin
Executerepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится
Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация, а также Internet Explorer v6.00 до Internet Explorer v8.00
Последний раз редактировалось Шапельский Александр; 30.10.2009 в 09:44.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
В логах чисто, что с проблемой?
Файл hots сами правили? Если нет, то выполните такой скрипт
Рекомендую обновить Windows XP SP2 до Windows XP SP3, возможно потребуется активация, а также Internet Explorer v6.00 до Internet Explorer v8.00
В C:\WINDOWS\system32\i чисто теперь, но проблема с ошибкой General Host Process for Win32 Services и последующим выбиванием инета осталась, при пинге пишет заданный узел не доступен пингую ip а не dns-имя.
Хосты правил сам, но перепроверю, на наличие подозрительных записей.
Обновиться попробую вечером, если повезет вытянуть апдейтер.
Добавлено через 9 часов 44 минуты
Вернулся домой,а в C:\WINDOWS\system32\i опять они были, kav все вычистил, кроме батника d.bat
Код:
for %%i in (*.exe) do start %%i
В
C:\WINDOWS\system32\drivers
Есть файлы с последним изменением сегодняшним числом, это нормально?
ujm2mjcx.sys
utm2mjcx.sys
fidbox2.dat
fidbox2.idx
fidbox.dat
fidbox.idx
Сегодня всю ночь собираюсь дома ковыряться, так что буду рад любым советам.
Последний раз редактировалось alidml; 30.10.2009 в 19:28.
Причина: Добавлено
-
Сообщение от
alidml
проблема с ошибкой General Host Process for Win32 Services и последующим выбиванием инета осталась
Ну дык:
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
SP3 + все последующие заплатки безопасности с большой верятностью спасут отца русской демократии.
-
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Делайте новые логи
Как раз этим и занимался.
В hosts чисто.
-
Junior Member
- Вес репутации
- 53
Сообщение от
pig
Ну дык:
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
SP3 + все последующие заплатки безопасности с большой верятностью спасут отца русской демократии.
Выкачиваю, теперь еще лекарство искать придется =(
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ltdrunsrv.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Выполните скрипт
Пришлите карантин
Если получиться, после прошлых логов и перезагрузки трояны все таки поднавернули avp
Вроде убиваются, но в инет с того компа я больше не пойду...
p.s 40% sp3 стянул
-
Junior Member
- Вес репутации
- 53
-
Карантин пуст, еще раз выполните скрипт надо проверить эту ltdrunsrv.dll
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Карантин пуст, еще раз выполните скрипт надо проверить эту ltdrunsrv.dll
Повторил скрипт и залил карантин.
Добавлено через 3 минуты
SP3 докачал и заливаю на комп, апдейтиться можно? )
Последний раз редактировалось alidml; 30.10.2009 в 21:45.
Причина: Добавлено
-
Итак, карантин успешный, новый зловред!
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Последний раз редактировалось Шапельский Александр; 31.10.2009 в 00:25.
Причина: Исправлен
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
shapel
Итак, карантин успешный, новый зловред!
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
За это время проапдейтился до SP3 и IE8
Скрипт выполняться не хочет, пишет: Too many actual parameters в позиции 5:12
Сейчас вообще все еще страшней, только подключаю инет и звери начинают лезть, в диспетчере задач примерно как на том скрине, что я выкладывал выше =(
Это при включенном kav8 и уже на sp3.
Модифицируете скрипт?
-
-
-
Junior Member
- Вес репутации
- 53
Выполнился вот так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\ltdrunsrv.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повис на моменте перезагрузки, когда уже отключился диспетчер задач, и остался только фон рабочего стола, пришлось резетить, так же рядом в C:\WINDOWS\system32\ есть ltdlogsrv.dll с похожим временем последнего изменения.
Догрузился.
Логи сейчас сделаю.
Последний раз редактировалось alidml; 31.10.2009 в 00:38.
Причина: дополнение
-
Ок. Сделайте новые логи и прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
Готово, гадостей при подключении инета нету, да и проактивная касперского вроде нормально заработала, что в логах?