Решена Net-Worm.Win32.Kolab.jbo

Тема в разделе "Лечение компьютерных вирусов", создана пользователем werwoolfwe, 13 сен 2010.

Статус темы:
Закрыта.
  1. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Народ как устранить последствия заражения данным зверьком?
    Есть отдел в нем сеть из 3х компов. В один прекрасный день пропала сеть.
    То есть компьютеры не дают к себе присоединиться. Пинг проходит.
    После переустановки на машинах касперского? он нашел
    [​IMG]
    и успешно его удалил но вот сеть так и не восстановилась.
     

    Вложения:

    • avz_sysinfo.zip
      Размер файла:
      17,4 КБ
      Просмотров:
      3
    • hijackthis.log
      Размер файла:
      5,1 КБ
      Просмотров:
      2
    • LOG.rar
      Размер файла:
      30,1 КБ
      Просмотров:
      4
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\FileKan.exe','');
    QuarantineFile('C:\WINDOWS\system32\SocksA.exe','');
    DeleteFile('C:\WINDOWS\system32\SocksA.exe');
    DeleteFile('C:\WINDOWS\system32\FileKan.exe');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. (at=@)


    Повторите логи. (лог RSIT тоже нужен)
     
  3. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Скрипт выполнил, полученный фаил оказался пуст. Но на всякий случай прикрепил его.

    [INFO]quarantine.zip - удалил[/INFO]
     

    Вложения:

    • info.txt
      Размер файла:
      6,2 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      130,5 КБ
      Просмотров:
      2
    • avz_sysinfo.zip
      Размер файла:
      10,3 КБ
      Просмотров:
      1
    • hijackthis.log
      Размер файла:
      4,7 КБ
      Просмотров:
      0
    Последнее редактирование модератором: 14 сен 2010
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "BSserver"=-
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Систему нужно обновлять или лечить будем до бесконечности.
    Acrobat 6.0 => Обновить до последней актуальной версии или деинсталировать.
    Microsoft Windows XP Professional Service Pack 2 => Необходимо установить SP3 + все хотфиксы + IE8 (даже если не используете).
     
  5. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Вот результат работы OTM by OldTimer
    Код (Text):
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    ========== REGISTRY ==========
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BSserver deleted successfully.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes
     
    User: USR-92
    ->Temp folder emptied: 794780693 bytes
    ->Temporary Internet Files folder emptied: 943244 bytes
     
    User: wer
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2128867 bytes
    %systemroot%\System32 .tmp files removed: 5709 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 13081025 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 56522989 bytes
     
    Total Files Cleaned = 827,00 mb
     
     
    OTM by OldTimer - Version 3.1.15.0 log created on 01012003_000239

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    Не могли бы вы пояснить пред идущий код.
     
    Последнее редактирование: 14 сен 2010
  6. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Какой именно?

    Что с проблемами?

    Добавлено через 1 минуту 25 секунд
    И логи повторите, пожалуйста.
     
  7. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Вот этот код непонятен.
    Код (Text):
    :Processes
    explorer.exe

    :Services

    :Files

    :Reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "BSserver"=-
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
    Проблемы как были так и остались.
     

    Вложения:

    • info.txt
      Размер файла:
      6,2 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      130,2 КБ
      Просмотров:
      1
    • avz_sysinfo.zip
      Размер файла:
      10 КБ
      Просмотров:
      1
    • hijackthis.log
      Размер файла:
      4,7 КБ
      Просмотров:
      0
    Последнее редактирование: 14 сен 2010
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ASocksrv');
    end.
    Остановка процесса explorer.exe
    Удаление ключа в реестре
    Чистка временных фалов
    Запуск explorer.exe
    Перезагрузка.


    Что с проблемами?
     
  9. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Т.е пинг есть но на машины не пускает.
    В авз есть восстановление настроек системы.
    Может выполнить пункты 14 или 15?

    Заметил что если нажимаешь кнопку исправить(см рисунок)
    То выдается ошибка при очистке ARP
    [​IMG]
     
    Последнее редактирование: 14 сен 2010
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
  11. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Не помогла программа.
    Во общем в сети из 3х машин вылеченными были 2 а на одной бушевал тот самый вирус. Поэтому я сделал и прикрепил все логи с этой машины. А фаил winsrv.exe отправил на вирус инфо.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      5,5 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      6,5 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      8,9 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      20 КБ
      Просмотров:
      3
    Последнее редактирование: 15 сен 2010
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Это уже другая машина? У нас алгоритм 1 тема = 1 машина.

    Отключите автозапуск со съемных носителей

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('WinSrv Service Controler', 4);
     SetServiceStart('uolrde', 4);
     SetServiceStart('llgdpqe', 4);
     SetServiceStart('kukjoipo', 4);
     SetServiceStart('tolso', 4);
     SetServiceStart('huiwciher', 4);
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     QuarantineFile('C:\WINDOWS\system32\02.tmp','');
     QuarantineFile('c:\windows\system32\drivers\winsrv.exe','');
     DeleteFile('c:\windows\system32\drivers\winsrv.exe');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
     DeleteFile('C:\WINDOWS\system32\02.tmp');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\RECYCLER\S-3-6-21-2434476501-1644491937-600003330-1213\WinSrv.exe');
     DeleteService('uolrde');
     DeleteService('WinSrv Service Controler');
     DeleteService('huiwciher');
     DeleteService('tolso');
     DeleteService('llgdpqe');
     DeleteService('kukjoipo');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(8);
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."

    Добавлено через 37 минут 6 секунд
    WinSrv.exe - drweb: BackDoor.IRC.Sdbot.4875, ЛК: Net-Worm.Win32.Kolab.jbo
     
    2 пользователям это понравилось.
  13. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Спасибо за помощь. Видимо вирус подправил груповую политику изменив параметр
    "Доступ к компьютеру из сети" как только прописал доступ для гостей все заработало.
     
  14. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    А вы скрипт АВЗ выполняли? Там же удаляются явные зловреды.
     
  15. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Да скрипт выполнил на всех компьютерах в сети.
     
  16. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.480
    Симпатии:
    3.100
    Хотелось бы увидеть лог ComboFix и новые логи AVZ
     
Статус темы:
Закрыта.

Поделиться этой страницей