-
Junior Member
- Вес репутации
- 51
Букет троянов
Доброго времени суток!
После обновления баз OSS обнаружил "Trojan.Kryptik.ADAU" (Trojan), "TrojanSpy.Wemon.DU" (Trojan), "Trojan.LockScreen.LG" (Trojan), "Trojan.Qhost.ESH" (Trojan). Вроде как убил, но чую, что не до конца и не всех, ибо, например, SERVICES.EXE каждую секунду вот так "шалит": "Разрешить изменение системных объектов Dangerous Activity HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit". Также C:\WINDOWS\system32\drivers\sptd.sys не дает покоя.
Не получается приложить файлы, даю ссылки на "народ", извините:
http://narod.ru/disk/23573795000/vir...check.zip.html
http://narod.ru/disk/23573799000/vir...scure.zip.html
http://narod.ru/disk/23573803000/hijackthis.log.html
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\WINDOWS\system32\fpwhpk.exe','');
QuarantineFile('C:\WINDOWS\system32\c2952c58.exe','');
QuarantineFile('C:\WINDOWS\System32\Filt\tmp\iuq3smky.vbt','');
DeleteFile('C:\WINDOWS\system32\c2952c58.exe');
DeleteFile('C:\WINDOWS\system32\fpwhpk.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
Вот повторные логи и логи RSIT. Карантин выслал.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
DeleteFile('C:\Program Files\Common Files\keylog.txt');
QuarantineFile('C:\WINDOWS\system32\120f99a0.exe','');
DeleteFile('C:\WINDOWS\system32\120f99a0.exe');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ и RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
Карантин отослал.
Файл сохранён как 100810_200237_quarantine_4c61781db2069.zip
Размер файла 435841
MD5 055a21396157bc007c41a7bab8f87de3
Логи прилагаю.
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O4 - HKLM\..\Run: [GEST] m‘|\ь
В остальном чисто.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 51
Строку пофиксил. Уязвимости устранил. Огромное спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\fjhdyfhsn.bat - Trojan.BAT.DelFiles.ez ( DrWEB: BAT.KillFiles.42, BitDefender: Trojan.BAT.AACH, NOD32: BAT/Agent.NFC trojan, AVAST4: VBS:Malware-gen )
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.biml ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@aOCFMxp )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bimb ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@ayll9pp, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\120f99a0.exe - Backdoor.Win32.Shiz.ts ( DrWEB: Trojan.Packed.20815, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-