-
Junior Member
- Вес репутации
- 56
Заражён комп в локальной сети
Что делает вирус
1. Изменяет файл хост.
2. Блокирует изменение настроек сетевого подключения
3. Модифицирует диспетчер задач
4. Мониторит сетку по 445 порту, инсталит свои копии на другие компьютеры локалки. Из тех, где стоит касперский - заражения ноль, из тех, где стоит trendmicro - 100% зараженность.
5. При подключении к компу флэшки сразу копирует туда autoran.inf и две папки "scan" и "driver"
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lfjedrli.sys','');
DeleteService('lfjedrli');
QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe','');
QuarantineFile('c:\windows\system32\goorammod.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\lfjedrli.sys');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам. Сделать заново логи.
Последний раз редактировалось PavelA; 19.04.2010 в 09:37.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
пофиксил, рестартанул комп, сделал лог hj заново, прикрепил.
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Карантин пришлите в обязательном порядке.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Логи прикрепил, карантин тоже.
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe','');
DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки выполните второй скрипт
Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.
Закачайте полученный карантин (архив quarantine.zip на диске С ) по красной ссылке вверху. Повторите логи
-
-
Junior Member
- Вес репутации
- 56
карантин закачан, логи сделаны.
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Выполните скрипт в безопасном режиме
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe','');
QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe','');
TerminateProcessByName('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','jifooket');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Повторите логи
-
-
Junior Member
- Вес репутации
- 56
Безопасный режим - не загружается, уходит в ребут.
-
Выполнить скрипт:
Код:
begin
clearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe','');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\goorammod.exe');
DeleteFile('c:\documents and settings\localservice.nt authority.001\application data\microsoft\jagouttudi.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните второй скрипт
Код:
Begin
CreateQurantineArchive('C:\quarantine.zip');
End.
карантин прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Карантин загружен, логи прикрепил.
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteService('z1oou0ja8');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\jagouttudi.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.
Пофиксите Hijackthis (если останется)
Код:
O23 - Service: Blue Coat K9 Web Protection (z1oou0ja8) - Unknown owner - C:\Documents and Settings\LocalService.NT AUTHORITY.001\Application Data\Microsoft\jagouttudi.exe (file missing)
Повторите логи
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось Тарасов Сергей; 21.04.2010 в 12:43.
-
Если не затруднит, можете предоставить информацию о жёстком диске?
Интересует серийный номер тома, можно и остальную имеющуюся.
на всякий, получить её можно через: cmd - dir c: ->
Код:
D:\>dir c:
Том в устройстве C не имеет метки.
Серийный номер тома: 409A-287B
-
-
Junior Member
- Вес репутации
- 56
К сожалению компьютер сейчас недоступен, увезли в филиал нашей организации. Как только будет доступ - отпишу Вам в лс. Думаю тему можно закрыть, виндовс там переустановили, слишком долго я выкорчевывал вирусы. В любом случае - спасибо и низкий поклон хелперам!
-
Если партицию не трогали... будет замечательно, в ожидании...
-
-
Junior Member
- Вес репутации
- 56
Партицию не трогал. Вот инфа - SN тома 5063-AB84
ST340014A 40Gb
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\localservice.nt authority.001\application data\microsoft\goorammod.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\documents and settings\localservice.nt authority.001\application data\microsoft\hyvifuru.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\goorammod.exe - Trojan-Dropper.Win32.Vidro.ec ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
-