Главная неприятность в том, что я имею отношение к разработке сайтов, у меня в CuteFTP хранятся пароли от десятков серверов/хостингов, на которых расположено, в целом, до 200 действующих сайтов. Эта зараза прописала слила пароли, дописала ифреймы в индексные файлы большинства сайтов, на некоторых - вообще стерла индексы. Соответсвенно, сайты в полурабочем состоянии, об ущербе прямом и косвенном я пока боюсь даже думать. (
История:
Вечером 05.06.09 при просмотре какого-то сайта на мгновение мелькнуло сообщение Avast! о каком-то вирусе (желтый текст в правом нижнем углу экрана. Прочитать не успел) и сразу же исчезло.
После, сразу, всплыло сообщение Виндовс "Некоторые системные файлы изменены, для нормальной работы Виндовс необходимо их восстановление. Вставьте, пожалуйста, системный диск с Виндовс ХР".
Диска с Виндовс ХР у меня при себе не было. Я запланировал "полную проверку компьютера Avast!'ом до загрузки системы" и перезагрузил систему.
Полная проверка Аваста ничего не обнаружила. Загрузка Виндовс прошла нормально. Через 5-10 мин. работы появилось сообщение Аваст "Методом эвристического анализа обнаружена вирусная активность ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys и предложено его удалить или пропустить сообщение (рекомендовано пропустить). Я его удалил. Всплыло сообщение Аваст, что в оперативной памяти обнаружен активный вирус, рекомендуется перезагрузить компьютер, запланировав полную проверку компьютера до загрузки системы. Я запланировал, перезагрузил.
Ситуация повторилась - проверка ничего не дала, через некоторое время - сообщение Аваст "Методом эвристического анализа обнаружен вирус ..." в файле C:\WINDOWS\System32\drivers\f13a43a1.sys... и т.д.
После этого я устанавливал:
NOD32
KIS 2009
Dr.Web 5.0
Проверка Нодом ничего не дала (правда, а проверял не в безопасном режиме)
KIS 2009 вообще отказывается включать защиту - постоянно светится серым и предупреждает, что защита отключена. Запустить проверку тоже не удается. Стояла демо-версия, с ключами все в порядке.
Доктор Веб в безопасном режиме нашел штук 5 подозрительных файлов, я их удалил. После перезагрузки системы и проверки ее Gmer'ом он снова нашел Rootkit activity.
Прошу помощи у сообщества и специалистов-вирусологов! Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\f13a43a1.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\f13a43a1.sys');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\rncsys32.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
П.С.:
1) после пункта "- Выполните скрипт" виндовс загрузилась со второй попытки - во время первой выдала ошибку на синем экране и на этом застыла.
2) после этого же путкта после перезагрузки выскакивает мастер установки оборудования (не написано какого). Я выбираю установить автоматически - он драйверов не находит, установка не удается.
Все темы о возможностях помощи ресурсу прочел, до конца недели постараюсь отметиться в каждой. Если в какой-либо не получится - компенсирую пропорционально в этой.
Удачи и всего хорошего всем специалистам virusinfo!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: