internet security

[Wolf762]

Здравствуйте.
Поймали в оффисе двух зверей. Одного удалось победить проверкой нодом при загрузке с диска Win PE. Базы обновлял до 2010.01.20 а вот второй зараза сидит и улыбается. Прошу помочь в борьбе с вымогателем.

При нормальной загрузке: При входе в папки 2 уровня выпадает експлорер. Запуск любого ехе иниицирует вирус. Ребут и выключение только с кнопок.

Загрузка в безопасном. То же. но есть около 30 сек для запуска исп файлов. Свежий Cureit пытается завестись но сразу говорит что вирь есть, смотри лог. При запусках AVZ и HijackThis пытается выключиться но встает на сохранении параметров. Полиморфный AVZ результат тот же.

Загрузка с Win PE ver 22/10/09 Нод с базами 2010.01.20 ничего не находит.
AVZ работает, логи прилагаю. HijackThis при даблклике перегружается експлорер. Переименованый дважды дает ошибку (uedit32.exe ошибка приложения 0xc0000006 приложение будет закрыто) лог прилагаю.

[миднайт]

1. Просканируйтесь с помощью LiveCD, сделайте логи если запустится avz, если нет
2. Попробуйте в биосе изменить дату на месяц назад или вперед и сделать логи.
Логи из под livecd бесполезны.

[Wolf762]

Сканирование с LiveCD результата не принесло. изменение даты +/- месяц, год результата не дало.

Добавлено через 27 минут

Какимто чудным образом AVZ Запустился. Нашел гада. Запихал его в карантин. Пока еще сканит. По готовности выложу логи.

Добавлено через 28 минут

После сканирования AVZ и перезагрузки все вернулось на круги своя. при запуске AVZ и полиморфа уходит в ребут. при запуске HijackThis и полиморфа пишет сбой в DLL Лог получился только 1

[Wolf762]

лог

[PavelA]

c:\windows.0\system32\dllcache\mw770.cat:exaSnrGYA 9hVePOcm5+7:$DATA - c LiveCD
убить.

[Wolf762]

Убил. Загрузился относительно нормально. Логи.

[PavelA]

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS.0\system32\mssrv32.exe','');
 QuarantineFile('c:\windows.0\system32\svchost.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин на проверку.

А/вирус работает?

[Wolf762]

Карантин выслал А/Вирус не работает. Утверждает что не разрешает политика ограничения применения програмного обеспечения. Не работает служба восстановления системы. Запрет на редактирование реестра и дисперчер задач поправил твикером.

[PavelA]

в реестре вот в этом ключе упоминание о Касперском удалите.

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths

выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS.0\system32\mssrv32.exe');
BC_ImportAll;
executesysclean;
BC_Activate;
RebootWindows(true);
end.

Повторить станд. скрипт №2. Прислать лог.

[Wolf762]

Каспер и восстановление заработали.. Лог проверки прилагаю.

[PavelA]

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\microsoft_sr\services.exe','');
 DeleteFile('C:\RECYCLER\microsoft_sr\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить лог еще разок

[Wolf762]

Похоже что теперь все в порядке. ( по крайней мере на мой не самый просвященный взгляд ) Благодарю вас за помощь. И Спасибо за ваш не самый легкий труд. Лог в комплекте.

[PavelA]

Карантин прислали второй?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows.0\system32\mssrv32.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.cq0@aCOk21cc, AVAST4: Win32:Bredolab-BR [Trj] )