Решена Компьютер 3

[julia.kz_7]

Это третий комп. На нем найден 251 зараженный файл. Меньше чем на втором, а проблем больше. С трудом удалось восстановить работу диспетчера задач с помощью Trojan Remover. Скрытые файлы удавалось отобразить только на 2 секунды. Раз видно, два уже - нет. Вот такие фокусы. И только сейчас на нем заработал Касперский 6.0 (после обработки Dr.Web :unknw

 

[akok]

И только сейчас на нем заработал Касперский 6.0

wks? (корпоративная версия)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\XP-D530B51C.EXE','');
 SetServiceStart('abp470n5', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\ilnifr.sys','');
 QuarantineFile('C:\WINDOWS\system32\klogon.dll','');
 QuarantineFile('C:\Program Files\Credo-III\NetAgent\NetAgent.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\ilnifr.sys');
 DeleteFile('C:\WINDOWS\system32\XP-D530B51C.EXE');
 DeleteService('abp470n5');
 BC_ImportALL;
 BC_QrSvc('qenpuaxo');
 ExecuteRepair(6);
 ExecuteRepair(8);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)


Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a643eb7-c2b1-11dd-81d9-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45400517-35ce-11dd-86ca-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e4af220-813a-11dc-ba40-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6775d74a-b452-11dd-81be-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{715d0de5-cee4-11dc-ba7d-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f7c026d-9840-11dd-8734-00d059584142}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8867461b-9826-11dd-8731-00d059584142}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Вот теперь повторите логи. Посмотрим чего осталось.

 

[julia.kz_7]

wks? (корпоративная версия)

нет не корпоративная.
новые логи.
после проверки Malwarebytes' Anti-Malware 1.33
Версия базы данных: 1654
Windows 5.1.2600 Service Pack 2
05.02.2009 13:32:46
mbam-log-2009-02-05 (13-32-46).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 111021
Прошло времени: 44 minute(s), 47 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.

после OTMoveIt3 by OldTimer
========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a643eb7-c2b1-11dd-81d9-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45400517-35ce-11dd-86ca-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e4af220-813a-11dc-ba40-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6775d74a-b452-11dd-81be-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{715d0de5-cee4-11dc-ba7d-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f7c026d-9840-11dd-8734-00d059584142}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8867461b-9826-11dd-8731-00d059584142}\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\user\LOCALS~1\Temp\~DF3528.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\user\LOCALS~1\Temp\~DF3D63.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_102047

Files moved on Reboot...
File C:\DOCUME~1\user\LOCALS~1\Temp\~DF3528.tmp not found!
File C:\DOCUME~1\user\LOCALS~1\Temp\~DF3D63.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

 

[ТроПа]

Как этот поживает?

 

[julia.kz_7]

этот намного лучше, чем было. kido на нем не нашла. Интересно сеть уже можно восстанавливать? раньше каспер орал, что его атакуют как раз с этого компа.

 

[ТроПа]

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Прикрепите логи ComboFix и Gmer

 

[julia.kz_7]

запуск Gmer выкидывает в синий экран.
лог combofix есть

 

[akok]

Конфискер хад
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\autorun.inf.vir
c:\windows\system32\x
C:\c6ff
Driver::
qenpuaxo
Folder::
C:\khs
c:\windows\system32\x
C:\c6ff
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3098:TCP"=-

FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[julia.kz_7]

все сделала

 

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\khs
Driver::

Folder::
C:\khs
Registry::

FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\khs
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Можно ставить "заплатки" и пускать в сеть после этого.

 

[julia.kz_7]

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\khs moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02062009_003141

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

 

[akok]

Как самочуствие?

Запакуйте пожалуйста папку C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (с указанной ссылкой на тему. (at=@)

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

 

[julia.kz_7]

не вижу у себя такой папки

 

[akok]

бррр ошибся

C:\Qoobox\Quarantine\ - но если запускали OTCleanIt уже поздно

 

[julia.kz_7]

очистку не запускала, но на этом компе нет ни одного архиватора
так что карантин пришлю завтра

 

[akok]

Хорошо.

 

[akok]

spec.fne - Trojan.Win32.Malware.1
shell.fne - Trojan.AutoRun.mo
eAPI.fne - Exploit.MS03-43

 

[julia.kz_7]

какой ужас. раз это попало в карантин. значит что на компе их уже нет? удалены?

 

[akok]

julia.kz_7, Вы абсолютно правы