-
Junior Member
- Вес репутации
- 57
Virus.win32.sality.aa везде! Помогите!
Он мне надоел очень сильно. Касперский вроде лечит его, но с течением времени этот вирус всё равно заражает те же самые файлы которые уже заражал.. Помогите от него окончательно избавиться.
Всё сделал по правилам. Вместо эксплорера запущена была Опера(експлорер повреждён).
Спасибо.
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
V_Bond
Данный этап уже проходил, но где-то неделю назад. (Dr.Web) сейчас не могу, слишком много времени это займёт. Винчестеров 3 штуки, на которых очень много разных *.rar и *.zip базы данных.. долго будет проверять. Я бы проверил, но на самом деле времени уже нет. Да и машины нету на которой можно проверить.
В реестре раздел safeboot пустой. Редактор реестра не запускается, диспетчер тоже. При помощи хайджэка фиксю О7, реестр должен открываться (остаётся доступным буквально на 3-5 секунд), А теперь не открывается а пишет что отсутствует или повреждена какая-то dll
" .dll" так и пишет.. без самого названия.. Такая-же фигня и с диспетчером задач.
Касперский сдох после того как я его отключил для логов. Не запускается.
Последний раз редактировалось leon; 30.09.2008 в 21:54.
-
Попробуйте эту утилиту Вложение 80497
-
-
Junior Member
- Вес репутации
- 57
Скажите, как мне этот вирус из сети 25 компов выдурить?
Профили перемещаемые, Документы тоже.
В сети были чистые компы, но потом всё-равно заражлись. Как этот вирус перемещается по сети? кроме того что создаются autoun.inf и *.exe как он может ещё распространяться? Что мне нужно сделать перед тем как начать лечение? Т.к. всё равно, если даже 1 комп я вылечиваю(Касперский, Dr.web Cureit ничего не находят) то потом всё равно он заражается.
-
откючить все от сети и лечить по очереди , подключая только вылеченные
-
-
Junior Member
- Вес репутации
- 57
Всё сделал как нужно: отнёс домой 2 винта из 3х, прогнал их в безопасном при помощи CureIt, принёс на работу, восстановил винду с установочного диска. Прогнал AVZ и HijackThis. Логи Вшему вниманию предоставил.
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Диспетчер задач и редактор реестра снова отключаются. Тотал виснет, AVZ закрывается через 3-4 секунды после открытия. Переименовал avz.exe в qweqwe.exe, выполнил скрипт. Карантин выслал. Высылаю логи.
Файл сохранён как 081002_125729_virus_48e50b8962c8e.zip
Размер файла 4617158
MD5 ad9221bdc549af55bfae9937ca1eb1c8
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
недолечен файловый вирус ... нужно все начинать заново
-
-
Junior Member
- Вес репутации
- 57
Чёрт. Это всё-таки сеть. Повезу опять домой лечить, только счас уже будет 5 винтов. + серверный.
-
Junior Member
- Вес репутации
- 57
Сначала. Проверил 11 винчестеров.. Пока...
1. Сервер
Логи.
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
недолечен .... вы после лечения уже подключались к сети ?
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
V_Bond
недолечен .... вы после лечения уже подключались к сети ?
Нет, но даже если бы подключал - в сети нет ни одного компа. специально только в субботу-воскресение занялся этим.
Как вы узнали что недолечен? вы же логи не смотрели....(возле логов Написано 0 просмотров каждый)
Последний раз редактировалось leon; 05.10.2008 в 17:17.
-
-
-
Junior Member
- Вес репутации
- 57
Ну у меня признаков нету вируса...
Одно могу сказать когда авз выполнял скрипты-касперский сервер был включён.. его нельзя отключить, и из процессов удалить тоже.
Что делать? опять идти проверять?
-
давайте попробуем
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('dac960nt.sys','');
DeleteService('dac960nt');
DeleteService('dac970nt');
QuarantineFile('C:\WINDOWS\system32\drivers\jlmnmo.sys','');
QuarantineFile('C:\WINDOWS\TEMP\nm0.exe','');
DeleteFile('C:\WINDOWS\TEMP\nm0.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jlmnmo.sys');
DeleteFile('dac960nt.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
virusinfo_syscheck.zip повторите ...
-
-
Junior Member
- Вес репутации
- 57
Файл сохранён как 081005_111255_virus_48e8e7871ad62.zip
Размер файла 1006192
MD5 9724760ef896c0be6903f81e8107301d
Лог:
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
похоже чисто ....
вот только nm0.exe не понятно от чего ... подождем ответ вирлаба
-
-
Junior Member
- Вес репутации
- 57
Спасиба! Подождём...
Комп №2:
Последний раз редактировалось leon; 05.10.2008 в 23:16.