Заражен еще один комп из сетки
Что делает вирус
1. Изменяет файл хост.
2. Блокирует изменение настроек сетевого подключения
3. Модифицирует диспетчер задач
4. Мониторит сетку по 445 порту, инсталит свои копии на другие компьютеры локалки. Из тех, где стоит касперский - заражения ноль, из тех, где стоит trendmicro - 100% зараженность.
5. При подключении к компу флэшки сразу копирует туда autoran.inf и две папки "scan" и "driver"
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполнить:
Повторить логи. Прислать карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\NetworkService\fqx.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\itf.exe',''); QuarantineFile('C:\Cookie.bat',''); QuarantineFile('C:\WINDOWS\System32\Drivers\wxkrsyar.sys',''); DeleteService('wxkrsyar'); DeleteService('wlvruhnb'); QuarantineFile('C:\WINDOWS\System32\Drivers\wlvruhnb.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\tgukwpnz.sys',''); DeleteService('tgukwpnz'); DeleteService('rbjouwcx'); QuarantineFile('C:\WINDOWS\System32\Drivers\rbjouwcx.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\eyrsosbi.sys',''); DeleteService('eyrsosbi'); DeleteService('cjqwtosw'); QuarantineFile('C:\WINDOWS\System32\Drivers\cjqwtosw.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\aemrkkon.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\zjzrjpsg.sys',''); QuarantineFile('srservice.sys',''); QuarantineFile('C:\WINDOWS\system32\poonnouboo.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\zjzrjpsg.sys',''); QuarantineFile('c:\windows\system32\houki.exe',''); DeleteFile('c:\windows\system32\houki.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\zjzrjpsg.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\zjzrjpsg.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\cjqwtosw.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\eyrsosbi.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\rbjouwcx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\tgukwpnz.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\wlvruhnb.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\wxkrsyar.sys'); DeleteFile('C:\Documents and Settings\Administrator\itf.exe'); DeleteFile('C:\Documents and Settings\NetworkService\fqx.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); ClearHostsFile; BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи прикрепил, карантин закачал.
Выполнить скрипт:
Через "Мастер решения проблем" исправьте настройки "Восстановления системы".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('srservice'); DeleteService('bbsu4urhkxy6'); DelCLSID('67KLN5J0-4OPM-33WE-AAX5-21KC2A1112233'); QuarantineFile('C:\DRIVE\BIN\April2.exe',''); DeleteFile('C:\DRIVE\BIN\April2.exe'); DeleteFile('c:\windows\system32\houki.exe'); DeleteFile('C:\WINDOWS\system32\poonnouboo.exe'); DeleteFile('srservice.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторить логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Если не трудно, SN тома и с этой машинки...
sn тома выслал в ЛС
Восстановление системы поправил.
Логи прикрепил
Последняя зачистка:
Логи повторите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('aemrkkon'); DeleteFile('C:\WINDOWS\System32\Drivers\aemrkkon.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 20.04.2010 в 14:48.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
логи прикрепил.
Все вычищено. Проблемы остались?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все работает супер. Спасибо большое!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\administrator\itf.exe - Trojan.Win32.Agent.droq ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3626722, AVAST4: Win32:Malware-gen )
- c:\documents and settings\networkservice\fqx.exe - Trojan.Win32.Agent.droq ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Generic.3626722, AVAST4: Win32:Malware-gen )
- c:\windows\system32\houki.exe - Trojan-Dropper.Win32.Vidro.ew ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
- c:\windows\system32\poonnouboo.exe - Trojan-Dropper.Win32.Vidro.ew ( DrWEB: Trojan.WinSpy.711, AVAST4: Win32:Crypt-GCF [Trj] )
Уважаемый(ая) Тарасов Сергей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
