Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймал Буритос

Dmitry D.

От Dmitry D.
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Dmitry D. Новичок

Dmitry D.

Опубликовано
Опубликовано (изменено)

Доброго времени суток.

Долго объяснять не буду:

1. Не запускается KIS 7

2. Объявление Your computer is infected от XP security Center

3. buritos.exe в процессах

Логи внизу.

Помогите кто чем может.

Заранее благодарю.

P.S. Win XP SP2

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова:

c:\windows\system32\buritos.exe - само чудо,

C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота",

C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт,

svchost.exe работает с 25 портом, что тоже подозрительно.

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр,

И еще много чего в логе HJT пофиксить.

 

Подождем кого-то из спецов, они вам помогут)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано

Отключите антивирус и интернет!

 

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxc61.sys
C:\WINDOWS\System32\Drivers\Beep.SYS

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\buritos.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
DeleteService('Winxc61');
DeleteService('Beep');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winxc61');
BC_DeleteSvc('Beep');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

Ссылка на комментарий
Поделиться на другие сайты
Dmitry D. Новичок

Dmitry D.

Опубликовано
  • Автор
Опубликовано (изменено)

KIS ожил.. обновился - начал хрюкать..

Сообщение от Security центра ещё появляется

Ответа на e-mail пока нет

Логи:

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано

Очистите временные файлы,кеш браузера.

 

Пофиксить

 

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи...

 

P.S. заморозку не хорошо юзать :(

Ссылка на комментарий
Поделиться на другие сайты
Dmitry D. Новичок

Dmitry D.

Опубликовано
  • Автор
Опубликовано

Гриша Операция прошла успешно... Спасибо большое.

Процесс буритос пропал... каспер воскрес... из трея объява пропала.

Спасибо за образцовую оперативность.

 

P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?! :(

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • АлександрК879
      Поймали шифровальщика Lockbit Black
      От АлександрК879
      Здравствуйте. Поймали эту мерзость.
      В файле virus.zip - сами зашифрованные файлы и требование
      В файле archiv.zip - те же файлы расшифрованные
      Логи остальное 
      Архив.zip virus.zip Addition.txt FRST.txt
    • Medoed Stepa
      Поймал "умный" ,скрытый майнер
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3)
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
×
×
  • Создать...