-
Junior Member
- Вес репутации
- 49
Либо 5, либо 15 минут...
Здравствуйте уважаемые спецы!
Я столкнулся с достаточно неприятной бякой, которая очень интересно рубит интернет. Начнем с того, что комп моей знакомой сначала предстал передо мной в виде зоопарка, "заповедника", где происходила селекция разных-разных вирусов - даже приходило в голову, что и компьютерные вирусы могут спариваться между собой, образуя новые виды заразы. Вобщем все что мог я удалил гдето авастом (с посл обновлением), гдето сам искал по реестру и удалял. После всего этого остался комп, где были отключены наиболее опасные службы, удаленный доступ и все что с ним связано, восстановление системы, все посторонние процессы (системные я уже знаю наизусть, хотя там некоторые svhost.exe нервируют слегка) - все по минимуму короч.
Но тут попалась опасная заковырина - рубится интернет. Дело происходит так: запускаем комп (автономно работает без проблем), подключаем интернет, ждем 5 минут - аваст находит fewh.exe в папке system32 (удаляем его), далее он чтото находит в папке Network Services (и дальше гдето в темпах, тож удаляем) и инет "встает", страницы не грузятся, состояние подключения узнать нельзя. Перезагружаем - та же картина. Нет интернета - нет никаких проблем на компе.Если игнорировать эти две заразы, то инет все равно рубится но уже через примерно 15 минут.В реестре их не уследишь, в процессах не висят, даже когда инет включен, эксплорер их не отображает даже в виде скрытых.
Как я уже понял, зараза низкоуровневая, "руками" не удалишь. Поэтому прошу вашей помощи.Как писалось в правилах - выкладываю логи последнего AVZ.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); QuarantineFile('','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\bowcav.exe','');
QuarantineFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\bowcav.exe');
DeleteFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
1. Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
2. Скачайте такую утилиу и провертесь ей
3. Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
5. Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
Ок, сделаем, спасибо. Насчет ggdrive.exe - он ведь сидел в процессах, я его сам убивал - удалял в system32. Он настолько живуч что маскируется под другими именами? fewh.exe - его псевдоним?
-
Junior Member
- Вес репутации
- 49
Спасибо большое за инструкцию, все сделал по пунктам. Червь удален, интернет функционирует нормально, проверялся всеми прогами, отчеты есть. Поставил SP3, с десяток заплаток на нее сверху. В принципе все хорошо, тему можно закрывать, но если нужно проделать что-то еще - то рад стараться.
Добавлено через 44 секунды
Кста, карантин присылать или не надо уже?
Последний раз редактировалось Exb; 30.01.2011 в 00:51.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
thyrex
Где лог МВАМ?
Вот
-
Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\MSrtn (Trojan.Agent) -> No action taken.
Удалите и выписываем Вас
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-