-
Junior Member
- Вес репутации
- 58
Беззащитный комп
Добрый день!
Знакомый попросил посмотреть его комп, на котором перестала загружаться система (WindowsXP). На компе не было действующего антивируса с актуальными базами.
Впоследствии, кстати, оказалось, что причина - техническая неисправность, но сначала грешил на вирусов, которых обнаружилось преизрядно, после удаления был блокирован Explorer, испорчен hosts. Ну и подозреваю, что там сидит еще глубоко законспирированная зараза.
Вроде, удалось сделать все по правилам.
Само собой, после окончания отлечивания, я поставлю все положенные фиксы, восьмой MSIE и антивирус.
Последний раз редактировалось vgo; 08.04.2011 в 11:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-0D344378.EXE','');
QuarantineFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys','');
DeleteFile('C:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0207453.sys');
DeleteFile('C:\WINDOWS\system32\XP-0D344378.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-0D344378');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysnew');
DeleteFile('C:\RECYCLER\S-1-5-21-0120704478-7505262915-294559714-6496\winmap.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 58
Файл сохранён как 100917_123228_quarantine_4c93279c54ac8.zip
Размер файла 8930
MD5 939356c03a7883f1d78256df863b9283
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось vgo; 08.04.2011 в 11:42.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\NetworkService\lels.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lpzccagf.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 58
Файл сохранён как 100917_141509_quarantine2_4c933fad24060.zip
Размер файла 1202
MD5 127fd3577d01841089596bbaaa516a81
-
Junior Member
- Вес репутации
- 58
В самом деле, интересненькие файлы оно нашло.
Последний раз редактировалось vgo; 08.04.2011 в 11:42.
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63mad6m8-1mad-81ad-jim6-26op5g6789085} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asocksrv (Backdoor.Tenga) -> No action taken.
Зараженные папки:
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
C:\AKON\BYONC (Backdoor.Bot) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
C:\WINDOWS\system32\internet.fne (HackTool.Patcher) -> No action taken.
E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe (Virus.Expiro) -> No action taken.
C:\AKON\BYONC\desKtOp.InI (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.
- Повторите лог
-
-
Junior Member
- Вес репутации
- 58
А руками можно? Я уже закрыл его, теперь заново скан запускать - это ж еще час
-
Как знаете, но лог всё равно повторять придётся.
-
-
Junior Member
- Вес репутации
- 58
Ок. Но это же будет еще лог и еще час ((
Добавлено через 1 час 26 минут
Сказывается конец рабочего дня - забыл сохранить лог от последнего сканирования. Так что придется на пальцах.
Руками удалось удалить все перечисленное, кроме файла E:\System Volume Information\_restore{15F3181F-2DFF-4ADC-8CE2-DD1191F19E30}\RP85\A0210494.exe.
Последующее сканирование показало три уязвимости - этот файл (был удален руками) и два ключа реестра, которые не правили. Или все-таки четыре? Нет, ничего нового точно не было.
Ну, этот файл я удалил MBAMом, в логе было написано, что он благополучно удален.
Могу, конечно, еще разок сделать сканирование, но у меня тут толпа обновлений на комп рвется, сначала их поставлю.
Спасибо за помощь.
Последний раз редактировалось vgo; 17.09.2010 в 17:29.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{15f3181f-2dff-4adc-8ce2-dd1191f19e30}\\rp85\\a0207453.sys - Worm.Win32.AInfBot.ba ( DrWEB: Tool.TcpZ )
-