[решено] модифицированный Win32/Injector.KT троян

Severny · Отправлено: **23:40, 04-04-2009** | #2

Отключитесь от интернет на время лечения.
Скачайте ATF-Cleaner и удалите временные файлы.
Включите брандмауэр Windows, если не собираетесь использовать сторонний файрволл.
Скачайте kidokiller и запустите.
Поставьте заплатки, а лучше обновитесь до SP3

В HijackThis поставьте галочку перед значением и нажмите Fix Checked

Код:

O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

В AVZ меню Файл - Выполнить скприпт. Скопируйте код и нажмите "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 SetServiceStart('msile', 4);
 DeleteService('msile');
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 DeleteFile('C:\WINDOWS\system\msile.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните еще скрипт.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин вышлите в РМ.
Повторите логи.

Vadikan · Конфигурация компьютера

Severny, нужно собрать все в один скрипт.

Удаленные сообщения процитированы ниже

Цитата:

Хм, что-то не видно вирусов в логах AVZ и HijackThis. Единственное - msile.exe. Правда, по логу NOD32 видны некоторые вирусные файлы.
Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\services.exe', '');
 QuarantineFile('C:\WINDOWS\system\1sass.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys', '');
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 SetServiceStart('msile', 4);
 DeleteService('msile');
 DeleteFile('C:\WINDOWS\system\msile.exe');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

Компьютер перезагрузится. Файл quarantine.zip обязательно отправьте на koshkin@rbcmail.ru

Цитата Severny:

SetServiceStart('msile', 4); »

Severny, а это обязательно надо добавлять перед "DeleteService('msile');"? Просто я еще учусь заниматься "хелперством".

Цитата:

Перед выполнением скрипта отключить защитное ПО (антивирус). Включить брандмауэр Windows
Выполнить скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\msile.exe','');
 DeleteService('msile');
 DeleteFile('C:\WINDOWS\system\msile.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by, указав в теле письма ссылку на тему

Пофиксить в HiJack

Код:

O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O23 - Service: microsoft install le (msile) - Unknown owner - C:\WINDOWS\system\msile.exe (file missing)

Повторите логи.

Severny · Отправлено: **09:21, 05-04-2009** | #4

Ссылки на повторные логи, которые по ошибке присланы в PM.

pressmark · Отправлено: **11:55, 05-04-2009** | #5

Severny, прошу прощения за не туда выложенные повторные логи (я еще не совсем разобрался в тонкостях поведения на данной конференции).
Данные логи были получены после выполнения рекомендаций Severny в посте №2.
Также спасибо всем кто откликнулся на мою просьбу о помощи.
Жду комментариев по повторным логам!

pressmark · Отправлено: **12:11, 05-04-2009** | #6

Выкладываю повторные логи.

Котяра · Конфигурация компьютера

pressmark, я не вижу ничего подозрительного в Ваших логах.
Все же выполните этот скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\services.exe', '');
 QuarantineFile('C:\WINDOWS\system\1sass.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

В папке с AVZ появится файл quarantine.zip. Его отправьте на koshkin@rbcmail.ru
Если его не будет, ничего отправлять не надо.

pressmark · Отправлено: **16:24, 05-04-2009** | #8

Котяра, скрипт выполнил, файл карантина появился, но он пустой. В протоколе AVZ показал следующие ошибки:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\services.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\services.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\1sass.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system\1sass.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sysdrv32.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\sysdrv32.sys)
Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено

Я так понимаю, что все нормально? Если нужен файл карантина, отпишитесь - я вышлю куда Вы указали.

Котяра · Конфигурация компьютера

pressmark, значит, этих файлов у Вас нет. А в чем собственно проблема? NOD ловит вирус. Может, это атаки из локальной сети?

pressmark · Отправлено: **20:01, 05-04-2009** | #10

Пока все хорошо. Спасибо за помощь! Просто за последние две недели я уже привык по несколько раз на дню удалять вирусы - очень на нервы давит! Может и из локальной сети, потому что у знакомых такая же проблема (msile.exe), а как проверить из локальной сети или нет?