Жесткий вирус
Поселился вирус, подозрение на x0rer, не могу загрузиться в безопасном режиме-синий экран смерти, блочит работу авз и HijackThis на этапе поиска руткитов, поэтому не могу прислать логи зараженного компьютера. Пожалуйста, напишите какой-то стандартный скрипт для убиения этой гадости. Система Windows XP Sp2, Два раздела жесткого диска(C:\, D:\). Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Зайдите в AVZ - Файл - Исследование системы. Нажмите на кнопку "Пуск". Сохраненный протокол прикрепите.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Виснет, если оставить включенными галки "Запущенные процессы, библиотеки процессов, порты TCP\UDP". Отключил эти пункты, протокол прилагаю.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\dnsq.dll',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(10); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22358 ).
После этого сделайте нормальные логи по правилам. Если не получится - то в безопасном режиме. Безопасный режим заработал?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Прислал карантин, сейчас попробую загрузиться в безопасном режиме и сделать логи.
А в обычном не получается до сих пор?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
В обычном не получается, в безопасный до сих пор синий экран.
hockey.pif это переименованный IceSword.
Скачайте отсюда:
http://www.megaupload.com/?d=AUGYD37C
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
Плюс сделайте еще такой же лог AVZ, как в посте номер 3.
и скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Если можно, не на мегааплоад, а то у меня не инсталится тулбар, а без него не могу скачать файл.спасибо.
C:\WINDOWS\svchost.exe - Trojan-Dropper.Win32.Small.apl
C:\WINDOWS\system32\dnsq.dll - Virus.Win32.Xorer.ee
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(10); RebootWindows(true); end.
Сделайте логи по правилам, если не получится, то в безопасном режиме, если и он не работает, то новый лог AVZ, как в посте номер 3.
IceSword уже наверно не понадобится.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Сейчас буду пробовать, пока прикреплю лог от гмера.
Синий экран в безопасном, виснет авз в обычном. Сделал еще раз логи, как в сообщении 3
Gmer нашел зверя.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('C:\WINDOWS\system32\com\smss.exe'); DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(10); RebootWindows(true); end.
Попробуйте сделать логи по правилам, если не получится, то в безопасном режиме, если и он не работает, то новый лог AVZ, как в посте номер 3.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все по-старому, высылаю новый лог.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys',''); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('C:\WINDOWS\system32\com\smss.exe'); DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE'); DeleteFile('C:\pagefile.pif'); DeleteFile('C:\NetApi00.sys'); DeleteFile('C:\037589.log'); DeleteFile('C:\AUTORUN.INF'); DeleteFile('C:\WINDOWS\system32\com\netcfg.000'); DeleteFile('C:\WINDOWS\system32\com\netcfg.dll'); DeleteFileMask('c:\', 'lsass.exe.*', false); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(10); RebootWindows(true); end.
Пришлите новый карантин.
Попробуйте сделать логи по правилам, не получится - как и прежде лог.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все по-старому, высылаю новый лог и карантин.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('C:\WINDOWS\system32\com\smss.exe'); DeleteFile('C:\WINDOWS\system32\com\LSASS.EXE'); DeleteFile('C:\pagefile.pif'); DeleteFile('d:\pagefile.pif'); DeleteFile('C:\NetApi00.sys'); DeleteFile('D:\NetApi00.sys'); DeleteFile('C:\037589.log'); DeleteFile('C:\AUTORUN.INF'); DeleteFile('d:\AUTORUN.INF'); DeleteFile('C:\WINDOWS\system32\com\netcfg.000'); DeleteFile('C:\WINDOWS\system32\com\netcfg.dll'); DeleteFile('D:\WINDOWS\system32\com\smss.exe'); DeleteFile('D:\WINDOWS\system32\com\netcfg.000'); DeleteFile('D:\WINDOWS\system32\com\netcfg.dll'); DeleteFile('D:\WINDOWS\system32\com\lsass.exe'); DeleteFileMask('c:\', 'lsass.exe.*', false); DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false); DeleteFileMask('d:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false); DeleteFile('D:\WINDOWS\system32\dnsq.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(10); RebootWindows(true); end.
Попробуйте сделать логи по правилам, не получится - как и прежде лог.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все по-старому, высылаю новые логи и карантин.
Пункт 2 правил Вы выполняли (полная проверка CureIt!'ом) ?
Скачайте IceSword.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Startup. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Три лога запакуйте в один архив и прикрепите архив.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Пункт 2 выполнял, только не в безопасном режиме(понятно почему) и не с защищенного от записи носителя, он находит вирусы, вроде как удалят, но сам завершает работу(я так понимаю, его блочит вирус).
IceSword тоже завершает работу сразу, пытался переименовывать в hockey.pif, ничего не вышло.
Обновлено: выполнил проверку cureit с сд-болванки, находит вирусы и вроде как удаляет, но сам при этом вылетает, при следующей проверке так же.
Последний раз редактировалось Janik; 02.05.2008 в 21:51.
Уважаемый(ая) Janik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
