Решена Чистка после локера

Статус
В этой теме нельзя размещать новые ответы.

aavezel

Новый пользователь
Сообщения
6
Реакции
2
Вчера подруга поймала локера (вырожденный Trojan.WinLock.2060). Скачал drweb livecd, тот выкосил зоопарк, но локер так и не умер. Нашел у делокера др.веба код разблокировки, снял локер. Проверил кутитом, он ничего не нашел. Но, на антивирусные сайты я зайти не могу (ни на доктора, ни на каспера).
Логи прилагаю.
 

Вложения

  • info.txt
    12.8 KB · Просмотры: 0
  • log.txt
    10.8 KB · Просмотры: 3
  • virusinfo_syscure.zip
    18.1 KB · Просмотры: 7
  • virusinfo_syscheck.zip
    17.5 KB · Просмотры: 2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\sdra64.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\0zggrrw.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\b89nzw5.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\mpek641.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\tx7mryo.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\vjqgsed.exe','');
 DeleteFile('c:\windows\system32\sdra64.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\0zggrrw.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\b89nzw5.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\mpek641.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\tx7mryo.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\vjqgsed.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

После этого

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Повторите логи и прикрепите лог fystemRoot.log (появится в папке AVZ) к следующему сообщению.
 

Вложения

  • log.txt
    10.8 KB · Просмотры: 4
  • info.txt
    12.8 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    16.2 KB · Просмотры: 1
  • virusinfo_syscure.zip
    16.3 KB · Просмотры: 6
  • fystemRoot.log
    1.5 KB · Просмотры: 4
Добрый вечер!

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\drivers\vdi3otqy.sys

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Что с проблемами?:)
 
Последнее редактирование:
В карантин ничего вредоносного не попало.
 
После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

07102010_013705.log:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\drivers\vdi3otqy.sys moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: JULIA
->Opera cache emptied: 29623137 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Ulija
->Temp folder emptied: 5457642836 bytes
->Temporary Internet Files folder emptied: 20532578 bytes
->Google Chrome cache emptied: 196171041 bytes
->Opera cache emptied: 239362 bytes
->Flash cache emptied: 56836 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2339456 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2891894 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 37317 bytes
RecycleBin emptied: 631274127 bytes

Total Files Cleaned = 6*047,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 07102010_013705

Files moved on Reboot...

Registry entries deleted on Reboot...

Хм... ATF-Cleaner запускал вроде...

Что с проблемами? :)
На www.kaspersky.ru заходит без проблем, антивирусник качается. На drweb.com виснет при заходе, на avsoft.ru не заходит. Пинг до drweb есть, до avsoft нет..
c:\>ping drweb.com

Обмен пакетами с drweb.com [87.242.72.150] по 32 байт:

Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56
Ответ от 87.242.72.150: число байт=32 время=50мс TTL=56

Статистика Ping для 87.242.72.150:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 50мсек, Максимальное = 50 мсек, Среднее = 50 мсек

c:\>ping avsoft.ru

Обмен пакетами с avsoft.ru [90.156.159.153] по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 90.156.159.153:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

С соседнего компа(linux), ходящего через тот же роут, оба сайта доступны.
 
Последнее редактирование:
Пофиксить в HijackThis следующие строчки:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
O20 - Winlogon Notify: afesgoax - Invalid registry found


Сейчас?Что с проблемами?:unknw:

Пожалуйста в OTM нажмите кнопку ''CleanUp'' который удаляется C:\_OTMoveIt\ и все остальное в системных папках от этой программы.


Установите Internet Explorer 8 (даже если им не пользуетесь)
 
Последнее редактирование:
Сейчас?Что с проблемами?:unknw:
Всё как было... :sorry:
PS При загрузке возникли "странные" проблемы с активизацией и кто-то хотел поменять поиск по умолчанию на qip.search в ie и chrome...
PSS С qip.search разобрался, при повторной перезагрузке проблем с активацией не возникло...
 
Последнее редактирование:
Я не вижу никаких активных инфекции....!:unknw: Готовить такoй лог:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу