Показано с 1 по 19 из 19.

Заражён комп в локальной сети (заявка № 76487)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33

    Thumbs down Заражён комп в локальной сети

    Что делает вирус
    1. Изменяет файл хост.
    2. Блокирует изменение настроек сетевого подключения
    3. Модифицирует диспетчер задач
    4. Мониторит сетку по 445 порту, инсталит свои копии на другие компьютеры локалки. Из тех, где стоит касперский - заражения ноль, из тех, где стоит trendmicro - 100% зараженность.
    5. При подключении к компу флэшки сразу копирует туда autoran.inf и две папки "scan" и "driver"
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    профиксить:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lfjedrli.sys','');
     DeleteService('lfjedrli');
     QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe','');
     QuarantineFile('c:\windows\system32\goorammod.exe','');
     DeleteFile('C:\WINDOWS\System32\Drivers\lfjedrli.sys');
     DeleteFile('C:\WINDOWS\system32\userini.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по Правилам. Сделать заново логи.
    Последний раз редактировалось PavelA; 19.04.2010 в 08:37.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    пофиксил, рестартанул комп, сделал лог hj заново, прикрепил.
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Карантин пришлите в обязательном порядке.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    Логи прикрепил, карантин тоже.
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe');
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
     QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe','');
     DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
     QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteWizard('TSW', 2, 2, true);
     RebootWindows(true);
    end.
    После перезагрузки выполните второй скрипт
    Код:
    Begin
    CreateQurantineArchive('C:\quarantine.zip');
    End.
    Закачайте полученный карантин (архив quarantine.zip на диске С ) по красной ссылке вверху. Повторите логи
    The Truth is Out There

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    карантин закачан, логи сделаны.
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Выполните скрипт в безопасном режиме
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
     QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe','');
     TerminateProcessByName('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
     DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteWizard('TSW', 2, 2, true);
     RebootWindows(true);
    end.
    Повторите логи
    The Truth is Out There

  10. #9
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    Безопасный режим - не загружается, уходит в ребут.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить скрипт:
    Код:
    begin
    clearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe','');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
     DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните второй скрипт
    Код:
    Begin
    CreateQurantineArchive('C:\quarantine.zip');
    End.
    карантин прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    Карантин загружен, логи прикрепил.
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    131
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true,true);
     SetAVZGuardStatus(true);
     DeleteService('z1oou0ja8');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\jagouttudi.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ClearHostsFile;
     RebootWindows(true);
    end.
    Пофиксите Hijackthis (если останется)
    Код:
    O23 - Service: Blue Coat K9 Web Protection (z1oou0ja8) - Unknown owner - C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\jagouttudi.exe (file missing)
    Повторите логи
    The Truth is Out There

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    пофиксил, логи сделал
    Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 11:43.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Если не затруднит, можете предоставить информацию о жёстком диске?
    Интересует серийный номер тома, можно и остальную имеющуюся.

    на всякий, получить её можно через: cmd - dir c: ->
    Код:
    D:\>dir c:
     Том в устройстве C не имеет метки.
     Серийный номер тома: 409A-287B

  16. #15
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    К сожалению компьютер сейчас недоступен, увезли в филиал нашей организации. Как только будет доступ - отпишу Вам в лс. Думаю тему можно закрыть, виндовс там переустановили, слишком долго я выкорчевывал вирусы. В любом случае - спасибо и низкий поклон хелперам!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Если партицию не трогали... будет замечательно, в ожидании...

  18. #17
    Junior Member Репутация
    Регистрация
    10.02.2009
    Сообщений
    104
    Вес репутации
    33
    Партицию не трогал. Вот инфа - SN тома 5063-AB84
    ST340014A 40Gb

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Большое спасибо! )

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\localservice.nt authority.001\application data\microsoft\goorammod.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
      2. c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
      3. c:\windows\system32\goorammod.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )


  • Уважаемый(ая) Тарасов Сергей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 07.12.2010, 06:42
    2. Вирус в локальной сети
      От Scryb в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 18.12.2009, 12:25
    3. Ответов: 3
      Последнее сообщение: 06.11.2009, 18:21
    4. Выкидывает из локальной сети
      От Veselyi_Rodger в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.02.2009, 14:59
    5. Avast в локальной сети
      От solongoy в разделе Антивирусы
      Ответов: 0
      Последнее сообщение: 08.08.2008, 08:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00229 seconds with 16 queries