Junior Member
Вес репутации
58
Не загружаются диспетчер задач и т.п.
Симптомы:
- не запускается диспетчер задач ("Отключен администратором")
- не запускаются regedit и avz4
- не выполняются команды в cmd
- не заходит на virusinfo.info
- при попытке войти в безопасном режиме - сразу перезагрузка
- вирус гадит в корень всех сетевых дисков большим количеством исполнимых файлов
Помогите, пожалуйста. Файлы в аттаче.
Вложения
Последний раз редактировалось schegloff; 17.07.2009 в 16:46 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('R:\iuurko.exe','');
QuarantineFile('P:\mrki.cmd','');
QuarantineFile('P:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\snfmm.sys','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winkeqwjh.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\w6c12f.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\mcme.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\ihae.exe','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\ihae.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\mcme.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\w6c12f.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winkeqwjh.exe');
DeleteFile('C:\WINDOWS\system32\drivers\snfmm.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('P:\autorun.inf');
DeleteFile('P:\mrki.cmd');
DeleteFile('R:\autorun.inf');
DeleteFile('R:\iuurko.exe');
DeleteFileMask('C:\DOCUME~1\1\LOCALS~1\Temp', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=50176 ).
Пролечите компьютер, как описано здесь:
http://virusinfo.info/showthread.php?t=15927 .
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Ни один из вариантов лечения не подходит - нет возможности записать болванку и нет компьютеров с Касперским или DrWeb. Обновленные логи высылаю.
Вложения
Карантина вашего нет - пришлите.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Пролечил этой штукой: http://support.kaspersky.ru/faq/?qid=208636131
Карантин загрузил. На вирусинфо по-прежнему не заходит.
Junior Member
Вес репутации
58
Выкладываю логи после использования утилиты от Касперского
Вложения
Вполне возможно, что Sality выжил в борьбе
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('abp470n5', 4);
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\snfmm.sys','');
QuarantineFile('C:\WINDOWS\system32\advapi32t.exe','');
DeleteService('mnmsrvcwscsvc');
DeleteFile('C:\WINDOWS\system32\advapi32t.exe');
DeleteFile('C:\WINDOWS\system32\drivers\snfmm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновить базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
58
Выполнил. Выкладываю карантин и логи.
Диспетчер задач по-прежнему не открывается.
Вложения
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\pnotq.sys','');
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
58
Последний раз редактировалось schegloff; 20.07.2009 в 09:59 .
Junior Member
Вес репутации
58
Вложения
d:\popopo3\ - что это за папка?
d:\popopo3\opopop.com - болен Sality.aa
А в новых логах полезла дальше нечисть.
Лечитесь дальше от файлового вируса. Sality_off запускали с CD (DVD)?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
58
Сообщение от
thyrex
d:\popopo3\ - что это за папка?
d:\popopo3\opopop.com - болен Sality.aa
А в новых логах полезла дальше нечисть.
Лечитесь дальше от файлового вируса. Sality_off запускали с CD (DVD)?
Да это и есть Sality_off, только переименованный.
Запускался с флешки, поначалу лечил на какое-то время, потом перестал.
На чистой машине скачайте Sality_off и CureIt
Запишите на CD (на чистой машине)
Пропишите запуск Sality_off -m в автозагрузку (как сделать смотрим http://support.kaspersky.ru/faq/?qid=208636131 )
Вставляете диск в привод, перезагружаетесь.
Когда запустится Sality_off, можно запускать CureIt на лечение
И флэшку вылечить не забудьте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
58
Сделал по интструкции. Вроде, вирус побежден.
Посмотрите, пожалуйста, логи.
Вложения
Может быть...
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\kqggn.sys','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\nxoewo.exe','');
TerminateProcessByName('c:\docume~1\1\locals~1\temp\winsbjxh.exe');
QuarantineFile('c:\docume~1\1\locals~1\temp\winsbjxh.exe','');
TerminateProcessByName('c:\docume~1\1\locals~1\temp\w107ea8.exe');
QuarantineFile('c:\docume~1\1\locals~1\temp\w107ea8.exe','');
DeleteFile('c:\docume~1\1\locals~1\temp\w107ea8.exe');
DeleteFile('c:\docume~1\1\locals~1\temp\winsbjxh.exe');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\nxoewo.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kqggn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 47 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\1\doctorweb\quarantine\wait[1].htm - Trojan-Spy.Win32.Zbot.pmq ( DrWEB: Trojan.Packed.366, BitDefender: Trojan.Generic.1544039 ) c:\docume~1\1\locals~1\temp\ihae.exe - Trojan-Downloader.Win32.Agent.bqbt ( DrWEB: Trojan.MailSpam.41, BitDefender: Backdoor.Agent.AAFO ) c:\docume~1\1\locals~1\temp\mcme.exe - Trojan.Win32.Agent.cogy ( DrWEB: Trojan.Spambot.3378, BitDefender: Trojan.Generic.2044615 ) c:\docume~1\1\locals~1\temp\winkeqwjh.exe - Trojan-PSW.Win32.Agent.nkr ( DrWEB: Trojan.PWS.Sector.origin, BitDefender: Trojan.Crypt.HO ) c:\docume~1\1\locals~1\temp\w6c12f.exe - Backdoor.Win32.Spammy.a ( BitDefender: Trojan.Crypt.HO ) d:\popopo3\opopop.com - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) p:\jnnqj.cmd - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) p:\mlkg.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) p:\mrki.cmd - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) r:\iuurko.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) r:\mlcx.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG ) r:\yfckdu.pif - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !