-
Junior Member
- Вес репутации
- 51
Повторная атака зловредов
Друзья, помогите!
На этой неделе, благодаря этому форуму, казалось бы победил вирусы...
Но, на этапе установки третьего Сервис Пака столкнулся со следующими проблемами:
1. Сервис Пак 3 не ставится ну никак. Кто-то, или последствия кого-то блокируют доступ к реестру при установки. Вроде бы все процессы поотключал и даже Авиру, по глупости своей убил. Потратил на эксперименты целый день, а воз и ныне там.
2. Во время экспериментов нахватал новую порцию врагов. Результаты - Авира не включается в Guard режим. Снова исчез Таск бар. Кур Ит и Каспер нашли десяток вирусов на пару. Логи прилагаю.
Последний раз редактировалось Evgen18; 09.05.2011 в 22:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60323
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\Documents and Settings\Admin\pdf.exe -init
O4 - HKLM\..\Run: [Microsoft Config Setup] C:\WINDOWS.0\jodrive32.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Config Setup] C:\WINDOWS.0\jodrive32.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\wors.exe','');
QuarantineFile('C:\Documents and Settings\Admin\bnt.exe','');
QuarantineFile('C:\WINDOWS.0\system32\38.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe','');
QuarantineFile('C:\WINDOWS.0\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS.0\jodrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS.0\system32\38.exe');
DeleteFile('C:\Documents and Settings\Admin\bnt.exe');
DeleteFile('C:\Documents and Settings\Admin\wors.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101562).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 51
Таскбарк восстановился.
Карантин отправлен.
Новые логи высылаю:
Последний раз редактировалось Evgen18; 09.05.2011 в 22:31.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\pdf.exe');
QuarantineFile('c:\documents and settings\admin\pdf.exe','');
DeleteFile('c:\documents and settings\admin\pdf.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Обновите JavaRE
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Карантин пустой (странно).
SP3 поставить не получается. См. начало топика. Возможно-ли как-то защититься без него? (Все чаще посещают мысли о format C, но хотелось-бы избежать...)
Логи высылаю, но уверен, что не вылечился
Последний раз редактировалось Evgen18; 09.05.2011 в 22:31.
-
Junior Member
- Вес репутации
- 51
Хотел переустановить антивирус. После перезагрузки - те-же симптомы. Тасбар исчез. Начинается легкая паника
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('c:\windows.0\jodrive32.exe','');
TerminateProcessByName('c:\windows.0\jodrive32.exe');
DeleteFile('c:\windows.0\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
пока не поставите SP3 и последующие обновления лечиться будете вечно
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\bnt.exe - P2P-Worm.Win32.Palevo.coyf ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6117635, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\documents and settings\\admin\\wors.exe - P2P-Worm.Win32.Palevo.coyf ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6117635, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\winfixer.exe - Backdoor.Win32.Floder.gl ( DrWEB: Win32.HLLW.Autoruner.48611, BitDefender: Trojan.Generic.KD.207363, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - P2P-Worm.Win32.Palevo.coyf ( DrWEB: Trojan.Inject.37080, BitDefender: Trojan.Generic.6117635, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows.0\\jodrive32.exe - Backdoor.Win32.Floder.gl ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Generic.KD.207363, AVAST4: Win32:Inject-AGC [Trj] )
- c:\\windows.0\\system32\\38.exe - P2P-Worm.Win32.Palevo.cpex ( DrWEB: Trojan.AVKill.11761, BitDefender: Trojan.Generic.KD.203871, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AGC [Trj] )
-