1. компом долго не занимались.
2. Первой ласточкой был кричащий Nod32 во время прохождения по очередной интернет-страничке
3. После перезагрузки периодически выдавал синий экран
4. Антивирусы отключились. После проверок оказались заражены Sector.5
5. За сутки работы заразились более 450 файлов (много баз данных от 1С + куча всякого другого софта)
6. Реестр не открывается, диспетчер тоже.
7. Безопасный режим не работает (синий экран при любом раскладе)
Было проведено: полностью проверка на другом компе при помощи CureIt (более 450 файлов вылечено Sector.5, Trojan.PSW.Lich и другие - не помню названия)
После перезагрузки зараженные файлы появились снова (сразу же отключил восстановление и провел проверку еще раз)
Отключи лвсе подозрительные (и не только их) службы
Поведение: Постоянно лезет в сеть (сетевая активность)
Было б проще форматнуть если б не базы...
Помогите пожалуйста справиться с бедой..
На данный момент антивирусы показали что комп чист.. но мне почему-то так не кажется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил (кстати там скобочки в 26 строке не хватило - я не сразу сообразил чего он от меня хочет).
Карантин выслал (добавились не все). Ток запаролировать забыл... Если надо - еще раз запаролированный вышлю.
К утру получу и логи.
Кеш чистим.
После выполнения скрипта комп "взбесился":
отключил все антивирусыы (даже CureIt не дает грузить - пробовал под разными именами). Едва смог запустить AVZ (Переименовал русскими буквами).
Нод32 перед смертью попросился отправить подозрительные файлы для проверки... я разрешил..
Nod32 уже больше не грузится... и не ругается.
Кто-то Что-то кидает в сеть...
IE загрузился только после нескольких попыток. РегЕдит и Диспетчер запрещены... ((
Вкратце..
Все-таки после нескольких попыток перезагрузки-очистки-перезагрузки-очистки с помощью ClearProg он пустил CureIt, но тот ничего не показал (!)..
Заново собрал логи.
Комп дискету перестал просить.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Отключил от локалки.
Отрубать ничего не пришлось - итак нифига не работает.. ни файр ни антивирь
Пофиксил.
Скрипт выполнил.
Очистил-переочистил временные папки.
Все делал по пунктам и по инструкции.
Антивирь не работает. Никакие запуски вручную не помогают..
Из Файрвола только брандмауэр стоит. Выставил Включить и запретить исключения.
Карантин выслал.
Сам по логам посмотрел - то что пофиксил вылезло снова...
begin
executerepair(6);
executerepair(9);
executerepair(11);
executerepair(17);
rebootwindows(true);
end.
После перезагрузки повторите фиксение и скрипт из предыдущего сообщения.
Если не поможет : Выполните проверку системы АВПтул (качать по ссылке в подписи).
не помогло..
по процессам смотрю что в темп-папке постоянно что-то копошится..
Поотключал загрузку всего чего только можно.
если запрещать процессы - затихает на некоторое время. потом опять пошло-поехало.. антивири запретил, AVZ пришлось переименовать - под стандартным названием грузить отказывается.
гружу AVPTOOL
Добавлено через 2 минуты
CureIt кое-как запустил с CD - ничего не находит..
Добавлено через 49 минут
Нашел и вылечил в нескольких файлах Virus.win32.sality.ab
Пофиксил сразу.(их CureIT не углядел!)
Запускаю полную проверку, но она займет очень много времени (куча баз 1с).
Есть какие-либо рекомендации?
Последний раз редактировалось Synd; 07.08.2008 в 13:58.
Причина: Добавлено
Несколько таких зараженных файлов Sality, которые CureIt! не разглядел, просьба прислать сюда http://virusinfo.info/upload_virus.php?tid=27672 в архиве с паролем virus.
А рекомендации - лечите комп AVPTool дальше, либо можно пролечить его, загрузившись с Kaspersky Rescue CD.
Файлы попробую найти по логам или где они еще могут сохраниться.. (антивирь написал что он их вылечил).
Насчет Rescue CD - откуда его можно подгрузить?
Как факт (судя по тому что строки, которые пофиксил) комп остается активно больным..? или это не показатель?
Файл отчета АVPTool надо присылать?
Вкратце ..
то множество файлов, что ранее было распознано с win32.sector.5 (CureIt) сейчас заражены win32.sality.ab (AVPTools)..
Это одно и то же или нет? Он сейчас шуршит-проверяет.. часа на 3-4 полная доскональная проверка... и вижу, что практически те же самые файлы..
и в памяти еще какая-то гадость не поймалась... так и не дает реестр править. Попытки пофиксить - говорит удалось. На практике все так и остается как было. Мне б хотя бы базу чистой выцепить - уже на другой винт систему поставил.
Память проверял CureIt! и AVPTool - обе говорят чисто.
Вот такую штуку выдернул
win32.buzus.pdf
файлы собираю, чтобы отправить для карантина.
Добавлено через 43 минуты
1. binkdnt - файл на который ругался обновленный NOD32 что это ВОЗМОЖНО WIN32/Sality.NAR (новая система, обновленный антивирь. пока что живой)
2. Rp06q1grp - это один из тех файлов которые постоянно оказывались заражены (их лечил CureIt потом Avptool).
3. system32 - там лежат несколько файлов зараженных модификациями win32.buzus.pdf (а эти папки проверялись несколько раз)
Надеюсь это поможет в выявлении этой самой неуловимой заразы.
С очищенного винта пока не грузился - чувствую, что это далеко не все (НОД32 ругается на все файлы которые чистили CureIt и AVPTool)
Благодарю Вас за помощь и терпение.
Добавлено через 50 секунд
Как проверялся - подрубил к чужому компу и в безопасном запустил AVPTOOL.. вот собственно так..
Последний раз редактировалось Synd; 07.08.2008 в 23:15.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: