Троян [LOG?]

[Dgeday]

Подцепили судя по всему трояна. В трее вылез красный круг с белым крестом и выдаёт переодически сообщение типа: "Ваш компьютер инфицирован ..." и всё такое, на форуме уже писали о подобном. Проблема в следующем: на компьютере стоял КАВ 2009, который сразу перестал работать и вручную тоже не запускается. Также не запускаются ни avz ни HiJackThis, такое ощущение, что эта гадость просто срубает эти процессы, по крайней мере на экране ни чего не появляется ...

 

Подскажите плз, что сделать можно ...

 

Нда, стоило глаза открыть ...

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Сразу добавлю, удалось поставить NOD32, пытался им лечить, толк был но очень мало. R_server установлен намеренно ...

Изменено 12 августа, 2009 пользователем Falcon

[thyrex]

1. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

3. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

 

4. Сделайте новые логи

Изменено 12 августа, 2009 пользователем thyrex

[Dgeday]

Всё сделал.

 

Файл quarantine.zip отпарвил на newvirus@kaspersky.com. Жду ответа.

 

Из консоли восстановления заменить файлы не удалось.

В первом случае было сообщение: "Не удаётся найти указанный файл или папку". Потом понял почему, в дистрибутиве нет файла ntfs.sy_, а есть ntfs.sys.

 

Во втором случае выдал сообщение: "Не удаётся создать файл beep.sys. 0 файлов скопировано".

 

Грузанул Live CD и ручками всё заменил.

 

После перезагрузки красный круг с белым крестом исчез, но по состоянию сетевого подключения видно, что обмен трафиком просто огромный. Поэтому на время отрубил Инет и сюда пишу с другого компа.

 

 

Также выкладываю новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 12 августа, 2009 пользователем Dgeday

[thyrex]

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

3. Пофиксить в HiJack

 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O20 - AppInit_DLLs: cru629.dat

 

4. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

5. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

6. Сделайте новые логи

Изменено 12 августа, 2009 пользователем thyrex

[Dgeday]

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

Всё это я уже сделал, описал это в предыдущем посте.

 

Грузанул Live CD и ручками всё заменил.

 

Я так понимаю, что пункты 1 и 2 можно пропустить ?!...

Изменено 12 августа, 2009 пользователем Dgeday

[thyrex]

Если на 100% уверены, что заменили, можете пропустить

[Dgeday]

Да, конечно, руками же делал ...

[Dgeday]

Всё сделал, жду очередного ответа от ЛК.

 

Трафик прилично снизился, но всёравно выражается шести-семизначными числами.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Уж не знаю, как Вы его заменяли...

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделать новые логи. Что с трафиком?

[Dgeday]

Ответ на перый файл, отправленный в ЛК:

 

"В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Small.ejx"

 

Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Трафик, к сожалению, по прежнему большой ...

[Falcon]

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Dgeday]

Вот лог:

 

Log.log

 

Сообщение о работе руткита не было ни при быстрой проверке, ни при сканировании ...

[thyrex]

Включите AVZPM (в AVZ выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

 

Дополнительно сделайте отчет утилиты GSI (ссылка в моей подписи)