-
Junior Member
- Вес репутации
- 58
Сильно зараженный комп, помогите!
Компьютер, видимо, заражен серьезно.
1) Невозможно загрузиться в безопасном режиме - выскакивает на мгновение синий экран (прочитать не удается) и комп уходит на перезагрузку. В нормальном режиме грузится благополучно
2) MSIE при запуске показывает блокирующее окошко с порнухой
3) Зайти на антивирусные сайты, включая virusinfo, не удается
4) после перезагрузки в файле hosts появляются записи для некоторых антивирусных сайтов, направляющие их на 127.0.0.1 (но реально блокировано сайтов больше, да и списочек какой-то кривой)
По причине п.1 выполнить сканирование компьютера в безопасном режиме не удалось. Сканирование в обычном режиме (RemoveIt) не дало ничего, кроме вылавливания нескольких десятков файлов от зловреда onestep.
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xonansu.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
TerminateProcessByName('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
QuarantineFile('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe','');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\setup.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\xonansu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Пока присылать нечего ((
После выполнения процедуры комп не пошел на перезагрузку.
После перезагрузки через ресет система перестала грузиться вообще - стала вести себя и при нормальной загрузке как при безопасной: срывается на перезагрузку.
Потом вроде стала опять загружаться, но опять только в нормальной моде.
Сейчас выясняю состояние, потом попробую получить логи.
Творятся чудеса: образовались файлы, которые не удаляются. ВОобще. Даже из-под Windows PE. Вот это уже совсем непонятно ((
-
Junior Member
- Вес репутации
- 58
Итак, состояние системы на данный момент выглядит удовлетворительным (в плане зловредов). По пунктам:
0) после некоторых манипуляций система снова стала грузиться в нормальном режиме. Что именно помогло - я так и не понял, но помогло.
00) причина неудаляемости пары файлов найдена, файлы удалены, к вирусам это отношения не имеет.
1) незагружаемость в безопасной моде сохранилась, но теперь я склонен считать, что это не результат присутствия активного вируса. Может быть, это побитая система. Может быть, вирусами.
2-4) симптомы прошли. Правда, в процессе упомянутых манипуляций заменилась версия MSIE, но, скажем, недоступность антивирусных сайтов была одинаковой для всех броузеров.
Результаты сканирования прилагаются.
На мой взгляд, система чистенькая. Другие сканеры тоже не показывают ничего.
В процессе диагностики (между отправкой мной первого сообщения и применением рецепта) свеженький сканер от DrWeb показал наличие трех зловредов:
- Trojan.PWS.Panda.106
- Win32.HLLW.Shadow.based
- Trojan.Click.26141
Хотя скрипт лечения выполнился без ошибок, в карантине оказалось только два файла. Карантин сейчас загружу.
Последний раз редактировалось vgo; 07.06.2010 в 11:46.
-
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Ну с вторым СП ловить троев можно часто.
Очень рекомендуется обновление до 3-го
Да и ИЕ уже есть 8-й
Выполните этот скрипт:
Код:
begin
ExecuteRepair(10);
RebootWindows(false);
end.
после перезагрузки опробуйте возможность загружаться в безопасном режиме
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Спасибо, скрипт помог, сервиспак накатили. Ну и фиксы-то противо-Kudoшные мы уже поставили без напоминания ))
Что до MSIE, похоже, юзер уже проникся идеей использовать другой броузер.
Как я понял, Вы в логах тоже ничего криминального не нашли.
PS. Поставленный антивирус нашел еще одну неблагонадежную программу - RegistryPowerCleaner, c:/program files/winferno/registrypowercleaner/regpowerclean.exe. Я уж не знаю, это правильно или перебдел антивирус.
Последний раз редактировалось vgo; 18.06.2009 в 10:17.
Причина: дополнительная инфа
-
Сообщение от
vgo
Поставленный антивирус нашел еще одну неблагонадежную программу - RegistryPowerCleaner.
Какой антивирус?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.rmk ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Trojan.Generic.1746618 )
- c:\windows\system32\xonansu.dll - Trojan-Downloader.Win32.Kido.a ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-