Прошу проверить после лечения

**totoshka** · 12.07.2007, 01:36

Наконец отлечили бухгалтерский комп.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Muzzle** · 12.07.2007, 02:55

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\blink\blink.exe','');
 QuarantineFile('C:\Program Files\Blink\home.js','');
 QuarantineFile('C:\WINXP\MS32DLL.dll.vbs','');
 DeleteFile('C:\WINXP\MS32DLL.dll.vbs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=waterfalls1aw&g=1&pc=&bd1=61&bd2=60&bd3=177&ipc=RU&sd1=5 5&sd2=54&sd3=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O14 - IERESET.INF: START_PAGE_URL=about:blank

E:\Setup.exe - вам знаком?

**totoshka** · 12.07.2007, 12:28

скрипт - выполнен
карантин - выслан
профиксино

E:\Setup.exe - эээ... E - это сидиром... пустой...

Добавлено через 1 час 45 минут

ну как там? все плохо?

**Muzzle** · 12.07.2007, 12:39

MS32DLL.dll.vbs - Worm.VBS.Solow.a
его мы удалили,про остальные файлы, подождём ответ от ЛК

**totoshka** · 12.07.2007, 14:27

Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)... Аваст просканировал диски... И нашел опять MS32DLL.dll.vbs на С и на D (в корнях)....

**Макcим** · 12.07.2007, 14:31

Сообщение от totoshka

Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)

Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме CureIT.

**totoshka** · 12.07.2007, 14:37

Сообщение от Maxim

Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме CureIT.

еще раз? ну ладно... логи еще раз выслать?

CureIt уже эти файлы находил, удалял, потом в AVZ их удаляли, и после всего этого Аваст их снова нашел... не такой уж он видать и бесталковый... на самом деле его поставили только потому что платные антивирусы детская областная библиотека на все свои компы не потянет, если есть какой-нить бесплатный лучше Аваста - посоветуйте, плииз... А то сами знаете, проверки решили устроить всем по поводу лицензионных прог...

**Макcим** · 12.07.2007, 14:38

Давайте.

**PavelA** · 12.07.2007, 15:20

Надо еще разок поискать и поудалять autorun

Every 200 seconds VBS/Solow-A enumerates available devices in attempt to copy itself with the filename MS32DLL.DLL.VBS and to create the file autorun.inf that contains instructions to autorun the copy of the worm once infected drive is accessed. This file should be deleted.

Диски сетевые подключенные есть? Если да, то отключить. Может пролезть с другого зараженного подобным вирусом.

**totoshka** · 12.07.2007, 16:33

Сейчас комп не подключен, а до этого был в доменной сети. Сейчас идет повторная проверка CureIt: удален autorun.inf с диска С,D, найдены Program.SrvAny в system32 и Blink.dll как возможный Dloader троян... Сейчас убивается карантин AVZ с прошлой проверки...
MountPoint2 удаляли, но autorun'ы не находили.....
...проверка продолжается....

**totoshka** · 12.07.2007, 17:45

Логи повторной проверки:

**PavelA** · 12.07.2007, 18:17

Диски открываются? И как вообще ощущение после лечения.

**totoshka** · 12.07.2007, 18:22

да, диски все открываются... ощущения... да вроде все нормально... только вот... "вроде все нормально" было и до этого... в смысле до повторного повторения всех операций... пока поставленный на будующее аваст не нашел все то же самое, что вроде как удалили уже удалили до этого..... все ли удалилось на этот раз? вылечен все таки комп или нет? можно возвращать бухгалтерам его?

**PavelA** · 12.07.2007, 18:56

Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.

**totoshka** · 13.07.2007, 03:06

Сообщение от PavelA

Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.

Оба съемных дисков, что у нас есть, постоянно проверяются на наличие autorun.*
Однако на компе постоянно генерятся в реестр MountPoint2 - это нормально?

Др Веб находит:
srvany.exe в ...system32 и оставляет без лечения

SpyBot Search And Destroy нашел проблены и я их исправила. но затем AdAware2007 опять нашел вот это:

Код:

Family Id: 791  Name: WhenU.SaveNow  Category: Misc  TAI:4
  Item Id: 300016914  Value: Root: HKCR Path: wusn.1

PS: В AdAware это исправлять не стала, ибо был печальный опыт.

Добавлено через 9 минут

Сообщение от Muzzle

про остальные файлы, подождём ответ от ЛК

Какие нибудь новости есть?

**Muzzle** · 13.07.2007, 03:08

srvany.exe - эт кусок от кряка windows SP1 ,т.к у вас SP2 можете его удалить,у него есть ещё и корешь resetserice.exe

давайте попробуем почистить следы autorun`ов с помощью утилитки anti_autorun

**totoshka** · 13.07.2007, 03:14

Результат проги:
Мой личный - чист, испытуемый - чист.

**Muzzle** · 13.07.2007, 03:22

Давайте уберём этот Blink.
C:\Program Files\Blink\blink.dll - Backdoor.Win32.Agent.aqr (по Касперскому)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\program files\blink\blink.exe');
 DeleteFile('C:\Program Files\Blink\blink.dll');
 BC_DeleteFile('c:\program files\blink\blink.exe');
 BC_DeleteFile('C:\Program Files\Blink\blink.dll');
 BC_DeleteSvc('Blink Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O9 - Extra button: Go to Blink - {95F6242A-62E4-4756-892F-F5D5D399CA25} - C:\Program Files\Blink\home.js
O23 - Service: Blink Service - Unknown owner - C:\Program Files\Blink\blink.exe" "C:\Program Files\Blink\blink.dll" Service (file missing)

повторите логи

**totoshka** · 13.07.2007, 03:30

Сообщение от Muzzle

Давайте уберём этот Blink.
повторите логи

Давайте, правда у него uninstall есть

... Ну думаю AVZ надежнее будет

... ушла в процесс

Такой момент вот тут http://virusinfo.info/showthread.php?t=8877 указано как боротся с этими авторанами.

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.

Немного не понятно - нужна ли запятая после C:\WINDOWS\system32\userinit.exe ?

**Muzzle** · 13.07.2007, 03:43

нет, запятая не нужна.

Прошу проверить после лечения (заявка № 10990)

Опции темы

Прошу проверить после лечения

Похожие темы

Прошу проверить логи после лечения

Прошу проверить логи после лечения

Прошу проверить логи после лечения

Прошу проверить, что осталось после лечения.

Прошу проверить после лечения

Ваши права в разделе