DaTa Опубликовано 15 июля, 2009 Опубликовано 15 июля, 2009 Доброго времени суток. Попросили посмотреть на комп знакомого. Зделав логи я был чесно немного сконфужен, поэтому прошу посмотреть логи Вас. virusinfo_syscheck.zip hijackthis.log
ТроПа Опубликовано 15 июля, 2009 Опубликовано 15 июля, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dllhost.exe',''); QuarantineFile('C:\WINDOWS\system32\spoolsv.exe',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe',''); QuarantineFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys',''); DeleteFile('C:\DOCUME~1\toor\LOCALS~1\Temp\aujasnkj.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему. Почему нет лога после стандартного скрипта 3? Включите в АВЗ AVZPM и повторите логи.
DaTa Опубликовано 15 июля, 2009 Автор Опубликовано 15 июля, 2009 (изменено) Хорошый вопрос Обьясняю почему, на этом компьютере почемуто очень долго делается сканирование хтмл файлов, а так как там стоит не один продукт от Adobe то их гдето примерно 80 000 штук. Сканирование занимает часа 2-3. Вот собственно поэтому и нет. Хотя к вечеру могу зделать. Да меня очень удиливо очень большое количество открытыт мейл-портов ну и не увидел этих файлов. Драйвер бота прибил собственными руками, кстати почему Бут Клинер не смог зделать карантин ? Да вот еще АВЗ ПМ у меня уже давно включен. Сообщение от модератора User Убрано лишнее цитирование boot_clr.log Изменено 16 июля, 2009 пользователем User
ТроПа Опубликовано 15 июля, 2009 Опубликовано 15 июля, 2009 Я точных кодов ошибок не знаю, но похоже, что файла с таким именем на тот момент уже не было.
DaTa Опубликовано 15 июля, 2009 Автор Опубликовано 15 июля, 2009 аха, ясненько. Вот еще, меня еще очень удивляет то что очень много системных файлов АВЗ видит как недоверенные. Впервые такое вижу, аж глаза розбегаются. И почемуто GetSystemInfo не может зделать отчет. Сразу какбы останавливается на получении общей информации.
ТроПа Опубликовано 15 июля, 2009 Опубликовано 15 июля, 2009 Похоже некоторые файлы патченные, поэтому нескольяко я и хочу, что бы вы отправили аналитикам ЛК, ну и мне копию
DaTa Опубликовано 15 июля, 2009 Автор Опубликовано 15 июля, 2009 мыло отправил. Жду ответа.... Ушел качать ComboFix ... прикрепляю лог проверки ExecuteStdScr(3); virusinfo_syscure.zip
akoK Опубликовано 16 июля, 2009 Опубликовано 16 июля, 2009 Ушел качать ComboFix Если файл патченные ComboFix не сможет помочь.
thyrex Опубликовано 16 июля, 2009 Опубликовано 16 июля, 2009 (изменено) C:\WINDOWS\system32\Drivers\NDIS.sys - Rootkit.Win32.Agent.hzh Сравните размер файлов C:\WINDOWS\system32\Drivers\NDIS.sys и C:\WINDOWS\system32\dllcache\NDIS.sys. Если отличаются, тогда с консоли восстановления (или загрузившись с LiveCD) можно файл заменить В противном случае понадобится диск, с которого ставилась система на этом компьютере, или искать этот файл на другом компьютере, система на котором ставилась с такого диска Mozilla Thunderbird используется? Если нет, тогда выполните следующее Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\program Files\ThunMail\testabd.exe',''); DeleteFile('c:\program Files\ThunMail\testabd.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Изменено 16 июля, 2009 пользователем thyrex
DaTa Опубликовано 16 июля, 2009 Автор Опубликовано 16 июля, 2009 Спасибо! Кстати у меня было подозрение на NDIS. Я даже на вирустотал хотел его отправить но почему то не получилось. Наверное сработала система защиты руткита. Да вот еще выполнял такой скрипт: begin SearchRootkit(true,true); TerminateProcessByName('c:\windows\system32\logon.scr'); QuarantineFile('c:\windows\system32\logon.scr',''); DeleteFile('c:\windows\system32\logon.scr'); QuarantineFile('C:\Documents and Settings\toor\reader_s.exe',''); DeleteFile('C:\Documents and Settings\toor\reader_s.exe'); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\services.exe'); QuarantineFile('C:\WINDOWS\system32\codeblocks.exe',''); DeleteFile('C:\WINDOWS\system32\codeblocks.exe'); QuarantineFile('C:\WINDOWS\system32\deviceemulator.exe',''); DeleteFile('C:\WINDOWS\system32\deviceemulator.exe'); QuarantineFile('C:\WINDOWS\system32\i386kd.exe',''); DeleteFile('C:\WINDOWS\system32\i386kd.exe'); QuarantineFile('C:\WINDOWS\system32\makehm.exe',''); DeleteFile('C:\WINDOWS\system32\makehm.exe'); QuarantineFile('C:\WINDOWS\system32\windres.exe',''); DeleteFile('C:\WINDOWS\system32\windres.exe'); QuarantineFile('C:\WINDOWS\system32\undname.exe',''); DeleteFile('C:\WINDOWS\system32\undname.exe'); QuarantineFile('C:\WINDOWS\system32\vmware-ufad.exe',''); DeleteFile('C:\WINDOWS\system32\vmware-ufad.exe'); QuarantineFile('c:\progra~1\ThunMail\testabd.dll',''); DeleteFIle('c:\progra~1\ThunMail\testabd.dll'); QuarantineFile('C:\Windows\System32\1B.dll',''); DeleteFile('C:\Windows\system32\1B.dll'); BC_ImportAll; BC_LogFile(GetAvzDirectory + 'bc_log.log'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Щас пойду ловить руткита
thyrex Опубликовано 16 июля, 2009 Опубликовано 16 июля, 2009 Выполняйте. Только не совсем понятно, где Вы взяли такой скрипт и зачем его выполняли. Так можно убить легко систему
DaTa Опубликовано 16 июля, 2009 Автор Опубликовано 16 июля, 2009 (изменено) нет, это я учусь Архив с копиями ndis.sys отправил в вирлаб и на мыло для анализа. Изменено 16 июля, 2009 пользователем DaTa
DaTa Опубликовано 22 июля, 2009 Автор Опубликовано 22 июля, 2009 Так вот получилось мне таки вытянуть коечто. ПРикрепляю лог ComboFix, и последнее исследование системы при помощи АВЗяки. По поводу найденого в логе: \Device\HarddiskVolume1\DOCUME~1\toor\LOCALS~1\temp\RarSFX1\xtd73.exe - остаток доктор веба(CureIT). C:\DOCUME~1\toor\LOCALS~1\Temp\Ei7w7w8L.sys - предположительно один из драйверов ComboFix'а так как я его еще не удалил. Лог делал при включеных AVZGuard & AVZProcessMan. Хочу отметить что значительная часть открытых портов на внешние айпи и на 25(мыло) порт была устранена в ходе удаления botdrv(%systemroot%\system32\driver.sys), а также после работы ComboFix. Нус, что скажимс ? log.txt virusinfo_syscure.zip
akoK Опубликовано 22 июля, 2009 Опубликовано 22 июля, 2009 (изменено) 2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\dllcache\ndis.sys 2009-03-05 14:03 213120 F98D9547BC0E25B7DAFB64591B08E4E9 c:\windows\system32\drivers\ndis.sys Оба файла изменены вредоносом. Нужно заменить заведемо чистым из дистрибутива. Изменено 22 июля, 2009 пользователем akoK
DaTa Опубликовано 22 июля, 2009 Автор Опубликовано 22 июля, 2009 хм странно, я отправлял оба файла в вирлаб, отписали что вирусный код не обнаружен. Или вы имеете в ввиду что даже если в них нету вредоносного кода но руткит их как то изменил в свою сторону? Пожалуйста опишыте подробнее даное действие вредоносного ПО!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти