Решена Net-Worm.Win32.Kolab.jbo

Статус
В этой теме нельзя размещать новые ответы.

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Народ как устранить последствия заражения данным зверьком?
Есть отдел в нем сеть из 3х компов. В один прекрасный день пропала сеть.
То есть компьютеры не дают к себе присоединиться. Пинг проходит.
После переустановки на машинах касперского? он нашел
5d1e50cec29d.jpg

и успешно его удалил но вот сеть так и не восстановилась.
 

Вложения

  • avz_sysinfo.zip
    17.4 KB · Просмотры: 3
  • hijackthis.log
    5.1 KB · Просмотры: 2
  • LOG.rar
    30.1 KB · Просмотры: 4

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,484
Реакции
13,926
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\FileKan.exe','');
QuarantineFile('C:\WINDOWS\system32\SocksA.exe','');
DeleteFile('C:\WINDOWS\system32\SocksA.exe');
DeleteFile('C:\WINDOWS\system32\FileKan.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. ([email protected])


Повторите логи. (лог RSIT тоже нужен)
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Скрипт выполнил, полученный фаил оказался пуст. Но на всякий случай прикрепил его.

Информация
quarantine.zip - удалил
 

Вложения

  • info.txt
    6.2 KB · Просмотры: 0
  • log.txt
    130.5 KB · Просмотры: 2
  • avz_sysinfo.zip
    10.3 KB · Просмотры: 1
  • hijackthis.log
    4.7 KB · Просмотры: 0
Последнее редактирование модератором:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,484
Реакции
13,926
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BSserver"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Систему нужно обновлять или лечить будем до бесконечности.
Acrobat 6.0 => Обновить до последней актуальной версии или деинсталировать.
Microsoft Windows XP Professional Service Pack 2 => Необходимо установить SP3 + все хотфиксы + IE8 (даже если не используете).
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Вот результат работы OTM by OldTimer
Код:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\BSserver deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
User: USR-92
->Temp folder emptied: 794780693 bytes
->Temporary Internet Files folder emptied: 943244 bytes
 
User: wer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2128867 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13081025 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 56522989 bytes
 
Total Files Cleaned = 827,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 01012003_000239

Files moved on Reboot...

Registry entries deleted on Reboot...

Не могли бы вы пояснить пред идущий код.
 
Последнее редактирование:

ТроПа

Активный пользователь
Сообщения
389
Реакции
333
Не могли бы вы пояснить пред идущий код.

Какой именно?

Что с проблемами?

Добавлено через 1 минуту 25 секунд
И логи повторите, пожалуйста.
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Вот этот код непонятен.
Код:
:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BSserver"=-
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Проблемы как были так и остались.
 

Вложения

  • hijackthis.log
    4.7 KB · Просмотры: 0
  • avz_sysinfo.zip
    10 KB · Просмотры: 1
  • log.txt
    130.2 KB · Просмотры: 1
  • info.txt
    6.2 KB · Просмотры: 0
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,484
Реакции
13,926
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','ASocksrv');
end.

Остановка процесса explorer.exe
Удаление ключа в реестре
Чистка временных фалов
Запуск explorer.exe
Перезагрузка.


Что с проблемами?
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Т.е пинг есть но на машины не пускает.
В авз есть восстановление настроек системы.
Может выполнить пункты 14 или 15?

Заметил что если нажимаешь кнопку исправить(см рисунок)
То выдается ошибка при очистке ARP
ac00a028f654.jpg
 
Последнее редактирование:

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Не помогла программа.
Во общем в сети из 3х машин вылеченными были 2 а на одной бушевал тот самый вирус. Поэтому я сделал и прикрепил все логи с этой машины. А фаил winsrv.exe отправил на вирус инфо.
 

Вложения

  • hijackthis.log
    5.5 KB · Просмотры: 1
  • info.txt
    6.5 KB · Просмотры: 0
  • log.txt
    8.9 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    20 KB · Просмотры: 3
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,484
Реакции
13,926
Это уже другая машина? У нас алгоритм 1 тема = 1 машина.

Отключите автозапуск со съемных носителей

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SetServiceStart('WinSrv Service Controler', 4);
 SetServiceStart('uolrde', 4);
 SetServiceStart('llgdpqe', 4);
 SetServiceStart('kukjoipo', 4);
 SetServiceStart('tolso', 4);
 SetServiceStart('huiwciher', 4);
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\02.tmp','');
 QuarantineFile('c:\windows\system32\drivers\winsrv.exe','');
 DeleteFile('c:\windows\system32\drivers\winsrv.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\02.tmp');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\RECYCLER\S-3-6-21-2434476501-1644491937-600003330-1213\WinSrv.exe');
 DeleteService('uolrde');
 DeleteService('WinSrv Service Controler');
 DeleteService('huiwciher');
 DeleteService('tolso');
 DeleteService('llgdpqe');
 DeleteService('kukjoipo');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(8);
 ExecuteRepair(16);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на quarantine<at>safezone.cc с указанием ссылки на тему в поле заголовка(теме) сообщения.. ([email protected])

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Добавлено через 37 минут 6 секунд
WinSrv.exe - drweb: BackDoor.IRC.Sdbot.4875, ЛК: Net-Worm.Win32.Kolab.jbo
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Спасибо за помощь. Видимо вирус подправил груповую политику изменив параметр
"Доступ к компьютеру из сети" как только прописал доступ для гостей все заработало.
 

ТроПа

Активный пользователь
Сообщения
389
Реакции
333
А вы скрипт АВЗ выполняли? Там же удаляются явные зловреды.
 

werwoolfwe

Пользователь
Сообщения
18
Реакции
0
Да скрипт выполнил на всех компьютерах в сети.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,905
Реакции
2,600
Хотелось бы увидеть лог ComboFix и новые логи AVZ
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу