Поймал Буритос

[Dmitry D.]

Доброго времени суток.

Долго объяснять не буду:

1. Не запускается KIS 7

2. Объявление Your computer is infected от XP security Center

3. buritos.exe в процессах

Логи внизу.

Помогите кто чем может.

Заранее благодарю.

P.S. Win XP SP2

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено 10 сентября, 2008 пользователем Dmitry D.

[Falcon]

Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова:

c:\windows\system32\buritos.exe - само чудо,

C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота",

C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт,

svchost.exe работает с 25 портом, что тоже подозрительно.

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр,

И еще много чего в логе HJT пофиксить.

 

Подождем кого-то из спецов, они вам помогут)

Изменено 10 сентября, 2008 пользователем Falcon

[Гриша]

Отключите антивирус и интернет!

 

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxc61.sys
C:\WINDOWS\System32\Drivers\Beep.SYS

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\buritos.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
DeleteService('Winxc61');
DeleteService('Beep');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winxc61');
BC_DeleteSvc('Beep');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

[Dmitry D.]

KIS ожил.. обновился - начал хрюкать..

Сообщение от Security центра ещё появляется

Ответа на e-mail пока нет

Логи:

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 10 сентября, 2008 пользователем Dmitry D.

[Гриша]

Очистите временные файлы,кеш браузера.

 

Пофиксить

 

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи...

 

P.S. заморозку не хорошо юзать

[Dmitry D.]

Гриша Операция прошла успешно... Спасибо большое.

Процесс буритос пропал... каспер воскрес... из трея объява пропала.

Спасибо за образцовую оперативность.

 

P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?!

[Kapral]

Логи лучше повторить

[Гриша]

Меня не обманешь ice_time.dll

[Dmitry D.]

ice_time это типа как Джим Кэри в Маске кричал SHOW TIME! ?

 

Последние логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar