Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймал Буритос

Dmitry D.

Автор Dmitry D.
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dmitry D. Новичок

Dmitry D.

Опубликовано
Опубликовано (изменено)

Доброго времени суток.

Долго объяснять не буду:

1. Не запускается KIS 7

2. Объявление Your computer is infected от XP security Center

3. buritos.exe в процессах

Логи внизу.

Помогите кто чем может.

Заранее благодарю.

P.S. Win XP SP2

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова:

c:\windows\system32\buritos.exe - само чудо,

C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота",

C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт,

svchost.exe работает с 25 портом, что тоже подозрительно.

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр,

И еще много чего в логе HJT пофиксить.

 

Подождем кого-то из спецов, они вам помогут)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано

Отключите антивирус и интернет!

 

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxc61.sys
C:\WINDOWS\System32\Drivers\Beep.SYS

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\buritos.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
DeleteService('Winxc61');
DeleteService('Beep');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winxc61');
BC_DeleteSvc('Beep');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

Ссылка на комментарий
Поделиться на другие сайты
Dmitry D. Новичок

Dmitry D.

Опубликовано
  • Автор
Опубликовано (изменено)

KIS ожил.. обновился - начал хрюкать..

Сообщение от Security центра ещё появляется

Ответа на e-mail пока нет

Логи:

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано

Очистите временные файлы,кеш браузера.

 

Пофиксить

 

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи...

 

P.S. заморозку не хорошо юзать :(

Ссылка на комментарий
Поделиться на другие сайты
Dmitry D. Новичок

Dmitry D.

Опубликовано
  • Автор
Опубликовано

Гриша Операция прошла успешно... Спасибо большое.

Процесс буритос пропал... каспер воскрес... из трея объява пропала.

Спасибо за образцовую оперативность.

 

P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?! :(

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • a_d_69
      Пойман шифровальщик [restore1_helper@gmx.de].Banta
      Автор a_d_69
      Поймали шифровальщика, по возможности можете сказать есть возможно расшифровать. Логи через FRST добавили. Пароль на архив 123
      977Fast.rar Архив.zip Addition.txt FRST.txt
    • Snedikk
      Поймал майнер tool.btcmine.2812
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

×
×
  • Создать...