Решена Net-Worm.Win32.Kolab.jbo

[werwoolfwe]

Народ как устранить последствия заражения данным зверьком?
Есть отдел в нем сеть из 3х компов. В один прекрасный день пропала сеть.
То есть компьютеры не дают к себе присоединиться. Пинг проходит.
После переустановки на машинах касперского? он нашел

и успешно его удалил но вот сеть так и не восстановилась.

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\FileKan.exe','');
QuarantineFile('C:\WINDOWS\system32\SocksA.exe','');
DeleteFile('C:\WINDOWS\system32\SocksA.exe');
DeleteFile('C:\WINDOWS\system32\FileKan.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. (at=@)


Повторите логи. (лог RSIT тоже нужен)

 

[werwoolfwe]

Скрипт выполнил, полученный фаил оказался пуст. Но на всякий случай прикрепил его.

Информация

quarantine.zip - удалил

 

[akok]

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BSserver"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Систему нужно обновлять или лечить будем до бесконечности.
Acrobat 6.0 => Обновить до последней актуальной версии или деинсталировать.
Microsoft Windows XP Professional Service Pack 2 => Необходимо установить SP3 + все хотфиксы + IE8 (даже если не используете).

 

[werwoolfwe]

Вот результат работы OTM by OldTimer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BSserver deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: USR-92
->Temp folder emptied: 794780693 bytes
->Temporary Internet Files folder emptied: 943244 bytes
 
User: wer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2128867 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13081025 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 56522989 bytes
 
Total Files Cleaned = 827,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 01012003_000239

Files moved on Reboot...

Registry entries deleted on Reboot...

Не могли бы вы пояснить пред идущий код.

 

[ТроПа]

Не могли бы вы пояснить пред идущий код.

Какой именно?

Что с проблемами?

Добавлено через 1 минуту 25 секунд
И логи повторите, пожалуйста.

 

[werwoolfwe]

Вот этот код непонятен.

:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BSserver"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Проблемы как были так и остались.

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ASocksrv');
end.

Остановка процесса explorer.exe
Удаление ключа в реестре
Чистка временных фалов
Запуск explorer.exe
Перезагрузка.


Что с проблемами?

 

[werwoolfwe]

Т.е пинг есть но на машины не пускает.
В авз есть восстановление настроек системы.
Может выполнить пункты 14 или 15?

Заметил что если нажимаешь кнопку исправить(см рисунок)
То выдается ошибка при очистке ARP

 

[akok]

Попробуйте воспользоваться этими рекомендациями.

 

[werwoolfwe]

Не помогла программа.
Во общем в сети из 3х машин вылеченными были 2 а на одной бушевал тот самый вирус. Поэтому я сделал и прикрепил все логи с этой машины. А фаил winsrv.exe отправил на вирус инфо.

 

[akok]

Это уже другая машина? У нас алгоритм 1 тема = 1 машина.

Отключите автозапуск со съемных носителей

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('WinSrv Service Controler', 4);
 SetServiceStart('uolrde', 4);
 SetServiceStart('llgdpqe', 4);
 SetServiceStart('kukjoipo', 4);
 SetServiceStart('tolso', 4);
 SetServiceStart('huiwciher', 4);
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\02.tmp','');
 QuarantineFile('c:\windows\system32\drivers\winsrv.exe','');
 DeleteFile('c:\windows\system32\drivers\winsrv.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\02.tmp');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\RECYCLER\S-3-6-21-2434476501-1644491937-600003330-1213\WinSrv.exe');
 DeleteService('uolrde');
 DeleteService('WinSrv Service Controler');
 DeleteService('huiwciher');
 DeleteService('tolso');
 DeleteService('llgdpqe');
 DeleteService('kukjoipo');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(8);
 ExecuteRepair(16);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Добавлено через 37 минут 6 секунд
WinSrv.exe - drweb: BackDoor.IRC.Sdbot.4875, ЛК: Net-Worm.Win32.Kolab.jbo

 

[werwoolfwe]

Спасибо за помощь. Видимо вирус подправил груповую политику изменив параметр
"Доступ к компьютеру из сети" как только прописал доступ для гостей все заработало.

 

[ТроПа]

А вы скрипт АВЗ выполняли? Там же удаляются явные зловреды.

 

[werwoolfwe]

Да скрипт выполнил на всех компьютерах в сети.

 

[thyrex]

Хотелось бы увидеть лог ComboFix и новые логи AVZ