Не прошло и суток, как ОНИ вернулись...

**Repetur** · 18.08.2007, 02:58

Вчера я скачал Сервис Пак для виндов, который вы мне рекомендовали, но поставить не успел (хотел это сделать завтра, чтобы кто-то помог, я совсем не знаю как это делается)
Придя сегодня вечером домой, я проверил комп AVZ, всё было нормально. Потом я вошёл в Интернет. Через 5 мин. я заметил, что самопроизвольно отключился Фаервол (который Брандмауэр Виндоуз) и что-то подгружается при закрытых программах. Я быстро вышел, включил AVZ - и нате! ОНИ. На этот раз в виде Trojan Packed 161. Отключил Восстановление, сделал логи, включил восстановление. Шлю. (Прям чувствую, что, пока я вам пишу ОНИ вползают…)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 18.08.2007, 03:34

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пофиксите в HijackThis (если останутся):

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Установите скачанный пакет обновлений - просто запустите файл,
и он все сделает сам минут за 10, в конце последует перезагрузка.

Сделайте новые логи.

**Repetur** · 18.08.2007, 04:30

Вроде что-то получилось... Только почему фаервол сам вырубается?

**Repetur** · 18.08.2007, 04:35

Ещё лог...

**Bratez** · 18.08.2007, 13:25

Однако он опять вернулся! Повторите вышеуказанный скрипт и фикс в безопасном режиме. Карантин пришлите по правилам и отправьте копию на [email protected]. Логи придется повторить еще раз.

**Repetur** · 18.08.2007, 15:12

Всё сделал, пофиксить не удалось - нет строчек. Копию карантина отправил по почте.

**Bratez** · 18.08.2007, 15:19

Строчек не оказалось - это хорошо, скрипт на этот раз сработал.
Теперь в логах чисто.

**Repetur** · 18.08.2007, 16:00

Почему же сам отключается Фаервол? Может не так настроен? Или не те исключения? У меня иключения только Windows Comander 32 - для фтп.

**Repetur** · 18.08.2007, 16:17

Вот опять! Прошёлся avz - пишет, что функции перехвачены. Не одной страницы не открывал, кроме вашей!

**Bratez** · 18.08.2007, 16:31

Черт, опять этот ntos.exe! Восстановление системы отключено?
Вероятно лезет через какую-то дыру из сети.
Вы установили тот пакет обновлений? И антивирус поставьте срочно.

Добавлено через 1 минуту

http://www.kaspersky.ru/trials

**Repetur** · 18.08.2007, 16:39

Пакет я установил. А чтобы на лету ловить - антивируса у меня нет. Есть др Веб пиратский, обновленный недавно, Corelt и всё. А Восстановление я отключал и включал снова после лечения.

**Bratez** · 18.08.2007, 16:53

Я бы советовал сменить пиратского Доктора на триальный KIS (см ссылку выше). По крайней мере на месяц будете иметь хорошую защиту совершенно бесплатно. А понравится - потом лицензию можно купить.

Добавлено через 3 минуты

Т.е. план такой:
1. Качаете KIS.
2. Меняете Доктора на KIS'у.
3. Обновляете KIS'e базы и отключаетесь от сети.
4. Делаете скрипт и фикс из сообщения #2 в безопасном.
5. Делаете полную проверку антивирусом.
От души надеюсь, что поможет.

**Repetur** · 18.08.2007, 17:25

Тут вот советуют бесплатный антивирус Avira. Может его можно пока?

**Bratez** · 18.08.2007, 17:47

бесплатный антивирус

Про сыр знаете?

**Repetur** · 18.08.2007, 19:33

неужели даже ВЫ?! ;-)

Добавлено через 38 минут

Я установил KIS. Теперь не могу войти в Безопасный режим. Сколько не давлю на F8 - никак... Чо-то я совсем запутался тут...

**Rene-gad** · 18.08.2007, 19:43

Сообщение от Repetur

Тут вот советуют бесплатный антивирус Avira. Может его можно пока?

можно. И не только пока. Хотя и он не без проблем.

**Repetur** · 19.08.2007, 21:57

Итак, докладываю. Поставил KIS, после этого стало невозможно войти в безопасный режим, и соответственно выполнить скрипт. ОНИ ползают туда-сюда сквозь все KIS-ы, только вхожу в сеть – идет трафик. Что можно ещё предпринять, уважаемые эксперты? Спасибо заранее.

**Alex_Goodwin** · 19.08.2007, 22:03

Логи по правилам заново. +
1. Отключите восстановление системы.
2. Выполнить скрипт

begin
ExecuteRepair(10);
end.

**Repetur** · 19.08.2007, 23:40

Вот логи. После выполения скрипта сделать их ещё раз?

**Alex_Goodwin** · 19.08.2007, 23:50

1. нет.
2. Выполните скрипт, карантин по правилам:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('MIDIDef.exe','');
 QuarantineFile('\SystemRoot\system32\drivers\JulaWdm.sys','');
 QuarantineFile('\SystemRoot\system32\drivers\Jula.sys','');
 QuarantineFile('C:\WINDOWS\system32\wups2.dll','');
 QuarantineFile('C:\WINDOWS\system32\wuaueng.dll','');
 QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
 QuarantineFile('c:\windows\system32\julapan.exe','');
RebootWindows(true);
end.

Компьютер перезагрузится.
3. Установите AVZPM, перезагрузитесь. AVZ Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
Упакуйте протокол в архив zip или rar и прикрепите к теме вместе со стандартными логами.

Не прошло и суток, как ОНИ вернулись... (заявка № 11782)

Опции темы

Не прошло и суток, как ОНИ вернулись...

Похожие темы

доброво времени суток

Доброго времени суток.

Прошло 2 дня и снова z-connect!

Доброва времени суток!

Доброго времени суток.

Ваши права в разделе