-
Junior Member
- Вес репутации
- 60
Постоянно обрубается инет
Сабж. Вирус, по ходу, тот же самый, который был тут: http://virusinfo.info/showthread.php?t=75010
Один в один. Как от этого избавиться? Где-то в похожем случае на этом же форуме посоветовали поставить свежий IE.
В общем, вирус ведет себя так:
Сначала файлы вируса есть в папках
%система
%система\system32
%корень\Documents and Settings\юзер\Local Settings\Temp
%корень\RECYCLER\S-1-5-21-*КУЧА ПРОИЗВОЛЬНЫХ ЦИФР*
так же в автозапуске создаются ключи на файл в последней указанной папке, и на 2 файла в %система\system32 - ndll.exe и cidrive32.exe
Пытаюсь сделать что-нибудь сам.
Сначала выпиливаю запущенные левые процессы. Потом все левые файлы в этих папках. Запускаю скрипт на удаление из автозапуска ключа на файл в последней указанной папке (все та же злосчастная recycler) и через менеджер удаляю ndll.exe, cidrive32.exe и m*не_помню_что*.exe/dll. Пытаюсь пофиксить подмену диспетчера-фиксится и на следующей проверке сразу появляется. Что говорит что зараза где-то скрывается. Хотя подозрительных новых процессов в памяти нет.
Иногда успеваю заметить как на несколько секунд в память сам собой залезает процесс с_рандомным_именем.exe (всегда 2-3 цифры) и через несколько секунд все прочие левые файлы и ключи заново появляются в указанных папках. Чесно говоря, я просто задолбался!
Похожие случаи есть. И во всех случаях эта штука появляется вновь и вновь.
Так же заметил что cidrive32.exe активна в сети-куча открытых соединений по адресам 172.************ microsoft-ds
Это негодяй пытается размножится через локалку?
Есть ли способ от его себя обезопасить? И не вернется ли он ко мне обратно через локалку?
Сначала сделал обычные логи, затем combofix.
Спасибо.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Учитывая, что ComboFix был последним, после его работы изменения в лучшую сторону есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Нет. Все вирусы на месте. Этот "процесс с_рандомным_именем.exe (всегда 2-3 цифры)" всегда создает несколько своих копий (тоже с произвольным именем) и "главные" файлы
Добавлено через 6 минут
Я так понимаю, что авз фиксит не все. Нужно фиксить одновременно авз и комбофиксом. Но обе программы перезагружают систему. А после перезагрузки все вирусы опять создаются заново.
Последний раз редактировалось nismoxid; 23.04.2010 в 11:04.
Причина: Добавлено
-
Еще раз логи AVZ сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\cidrive32.exe');
TerminateProcessByName('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe');
TerminateProcessByName('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
QuarantineFile('C:\WINDOWS\ndll.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe','');
QuarantineFile('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe','');
QuarantineFile('c:\windows\cidrive32.exe','');
QuarantineFile('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe','');
DeleteFile('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe');
DeleteFile('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe');
DeleteFile('c:\windows\cidrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe');
DeleteFile('C:\WINDOWS\ndll.exe');
DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин прислал.
Логи прикрепляю.
А вы знаете, что это за вирусы такие? Такое ощущение, что они написаны на бэйсике шестом, т.к. иконки у всех вирусов этих точь в точь такие как бэйсик прилепляет по умолчанию к любому скомпилированному exe'шнику.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Логи AVZ не переделывали? Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Простите. Запутался. Вот новые логи авз. hijack и combofix новые в прошлом сообщении.
Проблемы на первый взгляд нет.
Нужно ли устанавливать новый IE?
http://ifolder.ru/17425051
http://ifolder.ru/17425059
Последний раз редактировалось nismoxid; 23.04.2010 в 19:51.
-
Не видно ничего плохого
Папку C:\Qoobox скопируйте, пожалуйста, на другой диск, запакуйте ее с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\c13af~1.fou\locals~1\temp\790.exe - Trojan-Clicker.Win32.VB.eia ( DrWEB: Trojan.Packed.19972, BitDefender: Trojan.Loader.VB.D, AVAST4: Win32:VB-OWZ [Drp] )
- c:\docume~1\c13af~1.fou\locals~1\temp\910.exe - Backdoor.Win32.IRCBot.ovd ( DrWEB: Trojan.MulDrop1.15256, BitDefender: Trojan.Loader.VB.G, AVAST4: Win32:VB-OWZ [Drp] )
- c:\recycler\s-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )
- c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.ovd ( DrWEB: Trojan.MulDrop1.15256, BitDefender: Trojan.Loader.VB.G, AVAST4: Win32:VB-OWZ [Drp] )
- c:\windows\ndll.exe - Trojan-Clicker.Win32.VB.eia ( DrWEB: Trojan.Packed.19972, BitDefender: Trojan.Loader.VB.D, AVAST4: Win32:VB-OWZ [Drp] )
- c:\windows\system32\21.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )
- c:\windows\system32\57.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )
-