Internet Security вылазит (autorun.delf.el, trojan.packed.189)

**dsNiper** · 22.01.2010, 14:14

На одном из компов беда, аналогичная описанной в этой теме http://virusinfo.info/showthread.php?t=68101.

Вылазит экран типа а/в говорит, что вирей полно и просит смс чтоб получить код и все вылечить.

Эта тварь прописала себя в безопасный режим, не дает запускаться НИЧЕМУ (даже командной строке), CureIt находи trojan.packed.189, вставлял в комп флеш, потом проверял ее, НОД находил autorun.delf.el).

При попытке сделать чтоли бо авз или хайджеком, тварь тут же перезагружает компьютер.

В общем даже не знаю что сделать...

По вышеобозначенным причинам логов не прилагаю...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 22.01.2010, 17:31

Остается попробовать это:
http://www.freedrweb.com/livecd/.

**dsNiper** · 22.01.2010, 18:40

В общем почитал схожие темы. После этого через ливсиди запустил АВЗ, он нашел 2 подозрительных файла в потоке чего то там... вот лог

**dsNiper** · 22.01.2010, 18:53

Опять же по анологии посмотрел и сдела скрипт:

Код:

begin
QuarantineFile('C:\WINDOWS\inf\mdmelsa.inf:QNtQBUI:$DATA','');
QuarantineFile('C:\WINDOWS\inf\wdma_csf.inf:QNtQBUI:$DATA','');
DeleteFile('C:\WINDOWS\inf\mdmelsa.inf:QNtQBUI:$DATA');
DeleteFile('C:\WINDOWS\inf\wdma_csf.inf:QNtQBUI:$DATA');
DeleteFile('C:\WINDOWS\inf\mdmelsa.inf:QNtQBUI');
DeleteFile('C:\WINDOWS\inf\wdma_csf.inf:QNtQBUI');
end.

Толком не проврил, но вроде легче стало. Реестр запустился)))

**Bratez** · 23.01.2010, 02:56

Все верно, теперь осталось сделать логи в больной системе.

**dsNiper** · 23.01.2010, 11:49

Сообщение от Bratez

Все верно, теперь осталось сделать логи в больной системе.

Комп на работе, поэтому я тока в понедельник сделаю эти логи.

Так что не закрывайте тему пока плз.

**dsNiper** · 25.01.2010, 09:22

Проверьте пожалуйста эти логи. Может что осталось, но вроде глюки пропали.

**dsNiper** · 26.01.2010, 07:47

Нашел одну проблему, может кто за одно подскажет как ее решить: нод не устанавливается, выдает ошибку о недостаточности прав (учетка административная вроде).

**dsNiper** · 27.01.2010, 19:15

Эта тварь сегодня опять появилась на том же компе (толи юзверь тупой, толи не дочистил в тот раз).

Про этот вирус я понял только одно - самый действенный способ его замочить - вторая паралельно поставленная винда с которой запускаешь кюрит и он все чистит.

**Bratez** · 28.01.2010, 03:35

Извините, что не успели помочь вовремя дочистить, затерялась ваша тема в потоке...

Сообщение от dsNiper

вторая паралельно поставленная винда с которой запускаешь кюрит и он все чистит.

Да, это так, если ваша модификация зловреда есть в базах Доктора.
Кстати, роль второй винды с успехом играет любой виндовый Live CD.
Только после такого лечения остаются неприятные последствия в виде ограничений прав пользователя и т.п.

Я так понимаю, что последние логи не отражают текущее состояние системы. Поэтому ждем новые.

**dsNiper** · 28.01.2010, 07:43

Насчет последствий:

С 5го раза (после диагностики возможных проблем АВЗ, удалением всех вызывающих хоть малейшее сомнение ключей Хайджека и чистки реестра от всех упоминаний ESET) удалось установить нод последней версии.

На счет ливсиди - у меня почему то из под него (а пробовал разные версии загрузочных систем) кюрит не запускался.

Логи сегодня выложу в обед.