-
Junior Member
- Вес репутации
- 53
Очередной браузер-вирус
1) заразился, понял по огромному списку появившися статических марштутов
2) route -f, disable-enable адаптер
3) исправил userinit в реестре, удалил вирусные файлы в system32, куда были ссылки
4) однако в userinit снова произошли изменения
5) через process monitor (бывший regmon от sysinternals) выяснил, что изменения вносит процесс services.exe, а именно какойто трейд внутри него
6) в process explorer нашел этот трейд, однако в нем не увидел какой-либо полезной информации, просто убил его
7) после ребута всё ОК. собрал логи, посмотрите пожалуйста, не осталось ли чего.
Спасибо.
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\Yuuguu\yuuguu.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\dtscsi.sys','');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\ddd.m3u','');
QuarantineFile('C:\temp\jna11507.tmp','');
DeleteFile('C:\temp\jna11507.tmp');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 53
polword,
Спасибо за ответ!
yuuguu обязательно карантинить? Это известная мне программа, сам ставил, для удаленного доступа через https.
-
Ничего страшного от ее карантина не случится
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин загрузил!
Логи прикладываю!
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile(' C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\WINDOWS\system32\WaX4z6Z.exe','');
QuarantineFile('C:\WINDOWS\system32\EJ0I9SI.exe','');
QuarantineFile('C:\WINDOWS\system32\CdMWtbp.exe','');
QuarantineFile('C:\WINDOWS\system32\bd4fade7.exe','');
DeleteFile(' C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\WINDOWS\system32\WaX4z6Z.exe');
DeleteFile('C:\WINDOWS\system32\EJ0I9SI.exe');
DeleteFile('C:\WINDOWS\system32\CdMWtbp.exe');
DeleteFile('C:\WINDOWS\system32\bd4fade7.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 53
Карантин прислал.
Логи прикладываю.
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
-
- Выполните скрипт в AVZ в безопасном режиме
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Dmitry\Start Menu\Programs\Startup\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Dmitry\Start Menu\Programs\Startup\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи virusinfo_syscheck.zip и RSIT
-
-
Junior Member
- Вес репутации
- 53
Карантин прислал.
Логи прикладываю.
Последний раз редактировалось s1lver; 13.11.2010 в 03:05.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\dmitry\start menu\programs\startup\monoca32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.MulDrop1.40618, BitDefender: Gen:Trojan.Heur.FU.bC0@a0fwHpdi, AVAST4: Win32:Crypt-HCS [Drp] )
- c:\windows\system32\bd4fade7.exe - Trojan.Win32.Scar.cmdd ( DrWEB: Trojan.Packed.20488, BitDefender: Gen:Trojan.Heur.FU.dq0@ayNbqEfi, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\cdmwtbp.exe - Backdoor.Win32.Shiz.jk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aGQxcPbi )
- c:\windows\system32\ej0i9si.exe - Backdoor.Win32.Shiz.jh ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Backdoor.Generic.406997 )
- c:\windows\system32\fjhdyfhsn.bat - Trojan.BAT.Agent.vf ( DrWEB: BAT.KillFiles.33, BitDefender: Trojan.BAT.KillWin.VW, NOD32: BAT/KillFiles.NCB trojan, AVAST4: VBS:Malware-gen )
- c:\windows\system32\wax4z6z.exe - Backdoor.Win32.Shiz.jh ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Backdoor.Generic.406997 )
-