Новые логи. Карантин тоже закачал.
Смотрю как трафик в никуда уходит 24 часа в сутки у меня аж сердце кровью обливается.
Так и не добавилась часть файлов. Выполните скрипт
Получившееся пришлите согласно правиламКод:begin SearchRootkit(True, True); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\inet20125\services.exe',''); QuarantineFile('C:\WINDOWS\system32\taskdir.exe',''); end.
Карантин идентичен первому
Последний раз редактировалось anton_dr; 19.12.2006 в 21:23.
Дело в том что один из руткитов так и не удалился. Видимо его кто0то восстанавливает.
Есть, это rootkit, причём его выковыривание из системы достаточно трудоёмко.
Попробуйте этим - http://www.uploads.ejvindh.net/Rustbfix.exe после запуска будет 2 перезагрузки, и два лога c:\avenger.txt & c:\rustbfix\pelog.txt
пофиксите в Hijack -
Код:O13 - DefaultPrefix: http://www.get-access.host.sk/hvplace/rel1.php?id=amb_DR7_ O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe O20 - Winlogon Notify: winsys2freg - C:\WINDOWS\ O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)
Прекрипите к следующемe сообщению 2 лога rustbfix и повторите ещё раз 1-й лог AVZ из правил.
Нет.
Загрузка стала очень медленной (около получаса)
Слетели настройки DCOM и расшареных ресурсов.
Отчего бы это?
К тому-же, я никого не вижу, и меня не видно в сетевом окружении. Не работают все программы опирающиеся на настройки прав пользователя на уровне домена.
Блин.
Последний раз редактировалось dumer; 20.12.2006 в 08:09.
Уже 10 минут спам с моей машины не идёт. После перезагрузки вылез "мастер нового оборудования" может он в дровах прятался?
Темпы попрежнему не удаляются. Что-то подозрительное идёт с клиентской машины может он гад в сеть перебрался.
Закачал карантин. Вот новые логи:
Хотел нарисовать скрипт, но получится дольше.
Вот маленький - для убиения taskdir, если она все же еще жива (в логах есть и должна быть видна в безопасном режиме):
dimsntfy.dll из карантина пришлете по Правилам, посмотрим.Код:begin ClearQuarantine; if SetAVZGuardStatus(True) then AddToLog('AVZGuard успешно активирован') else AddToLog('AVZGuard - ошибка активации'); DeleteFile('C:\WINDOWS\system32\taskdir.exe'); DeleteFile('C:\WINDOWS\system32\taskdir~.exe'); DeleteFile('C:\WINDOWS\system32\taskdir.dll'); QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll'); ExecuteSysClean; RebootWindows(true); end.
Но это лирическое отступление. Что касаемо system32:lzx32.sys - если эта пакость не убита, она снова заработает. Я его убивал так :
1. Активировать AVZGuard.
2. "Сервис" - "Поиск данных в реестре". Вверху ввести lzx32.sys и Пуск.
Найденные ключи сохраните в файл для истории (покажете тут) и удалите. Далее перезагрузка, не закрывая AVZ и его Guard.
3. После перезагрузки файл system32:lzx32.sys на месте , но работать уже не будет и доступен для издевательства.
Я это делал маленькими утилитками вот отсюда:
http://www.flexhex.com/docs/articles...treamtools.zip
Из этого 75 кБ архива пригодятся две утильки - "copy stream" CS.exe и "delete stream" DS.exe. Распакуйте из архива, скажем, в C:\streamtool.
Сначала скопируем для отправки в форум:
C:\streamtool\CS.exe C:\WINDOWS\system32:lzx32.sys C:\streamtool\trojan.sys
Потом убьем троян:
C:\streamtool\DS.exe C:\WINDOWS\system32:lzx32.sys
Можно убедиться в результате:
C:\streamtool\LS.exe C:\WINDOWS\system32
Скопированный из потока в файл C:\streamtool\trojan.sys пришлите по Правилам (в архиве с паролем virus, проще всего это делать из "Просмотра карантина AVZ - добавить по списку C:\streamtool\trojan.sys и заархивировать").
"Ошибка скрипта: Not enough actual parameters, позиция [10:16]"
Что-то я не понимаю как расшифровать [10:16].
Убрал из скрипта "if ... else..." Включил AVZGuard ручками.
В логах АВЗ написал, что фаил можно удалить только после перезагрузки. Так и не понял удалил нет...
В карантине АВЗ dimsntfy.dll нету я его ручками из систем32 вытащил.
lzx32.sys похоже убил. Высылаю карантин и где он в реестре прятался.
Раз AVZ написал, что после перезагрузки - так и есть, надо перезагрузиться. Файл будет удален в начале загрузки.
перезагрузился сразу.
Для проверки можно создать пустой файл C:\windows\system32\taskdir.exe. При этом не должно быть ошибки - значит, счастье уже убито, пустой файл можно удалить.
Этот taskdir - спамбот, умеет себя скрывать, пока работает.
Умеет обновляться и еще таскает всякую пакость по заданию с сайта - чаще всего Trojan.EmailSpy и еще какую-то тырилку паролей под именами taskdir~.exe и taskdir.dll соответственно.
Стоило бы еще очистить директории кэша IE и временных файлов - от исполняемых файлов точно надо.
%userprofile%\Temporary Internet Files\
%userprofile%\Temp
Если есть там неудаляемые - убить отложенным удалением AVZ.
Последний раз редактировалось anton_dr; 20.12.2006 в 15:06.
У меня он аську стандартную 12 раз скачал за прошлый месяц. сцук!
Нет, я думаю, это не он аську качает. Кто-то из его компании, вроде начальный загрузчик всего этого добра - чаще всего файл win32[1].exe в кэше IE.
Проверьте всё свежим CureIt-ом или касперским на досуге как нибудь.
не могу сетевую версию касперского найти. Работу МсАфее я вижу только наличаем его значка в трее. Кукиши почистил. Ехе-ников небыло.
А если я НОД32 или касперского с мкафее поставлю они воевать не будут?
Уважаемый(ая) dumer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.