Backdoor.Win32.Agent.ajcb, Net-Worm.Win32.Kido.jq и чтото еще
Добрый день
Принесли старенький комп, еле шевелился, кое как раскачали. Комп запущен.
Поставили НОД32, поубивали какую то мелочь.
При подсоединении к сети (DSL, через домашнюю сетку) стало постоянно выскакивать окно, что ктото ломится с super.setheo.com/lib/scanner.dll и "вероятно модифицированное Фемидой приложение" (могу точно текст выслать). И о том, что во временных IE тоже scanner[1].dll модифицированный Фемидой.
Нод32 (ESS-3) особо не помог.
С помощью AVZ чтото прижали.
Стали делать по Вашей инструкции.
ВирРемувТул, в безопасном режиме, убил 17 штук всякой живности, можем приложить лог (в основном в папках win-sys32-мусор).
Но похоже, что после перезагрузки живность опять ожила.
Собственноручно, по рекомендациям с сайта Майкрософт, был восстановлен Брандмауэр. Восстановление системы отключено.
Но после перезагрузки всё заново, опять окна-уведомления от НОД32.
Просим Вашей помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.Выполнили скрипт, выполнился успешно.
Правда после объявления о перезагрузке комп долго туда шел. Пришлось подтолкнуть.
2.Стали прикреплять карантин по ссылке вверху. Сделали ошибку, извините.
Изначально прикрепили "virusinfo_cure.zip" (около 1,2Мб), который был создан вероятно раньше.
Потом, согласно Приложения3, прикрепили "virus.zip" (350кб).
Я так понял, что нужно было только второе, извините.
3.Собрали статистику. Кстати, после выполнения вашего скрипта, злополучных окон об атаке извне больше не было.
4.Отключили НОД32. Запустили GMER. При старте он выдал сообщение
Попросился на полный скан системы.
Примерно через 10-15 мин после начала сканирования комп жестко вышибло в перезагрузку.
После перезагрузки и повторного запуска GMER картина полностью повторилась.
Никаких логов GMER не оставил.
5.Прикрепляем логи, кроме GMERовских.
Неуверены, прикрепился ли нужный "Карантин"
По указанной ссылке поставили 3 заплатки (на MS08-067, MS08-068, MS09-001 ),
запустили утилиту KK, ее отчет не показал результатов о лечении чего-либо.
Запустили GMER.
Результат тоже самый что показан выше.
То есть не помогло.
Сейчас логи соберу, это на этом компе займет время
(но вроде же ничего не изменилось, нужно?)
Ок.
1.Сделал логи AVZ и Hijackthis,
2.Во время запуска GMER повторилась вышеописанная ситуация - он остановился во время стартового сканирования выкинув окно о подозрении (см. мой аттач выше). Попросился на полное сканирование, запустили.
3.Наученные горьким опытом вышибаний во время этого сканирования (писал выше), я стал пытаться регулярно делать-сохранять логи в процессе сканирования (как я понял, ГМЕР это позволяет). Может пригодится?
4.Как я понимаю, комп опять вышибло во время сканирования ГМЕР-ом.
(в этот раз я отлучался от компа, как вернулся - комп ожидает входа пользователя. После входа система сообщает что восстановлена после серьезной ошибки.)
Но вышибло не через 10-15мин как в прошлые разы, а гдето часа через 1,5-2 после начала сканирования.
К данному сообщению прикрепляю НЕПОЛНЫЙ ЛОГ Гмера (см.п.3.)
5.Кстати в логе упоминается "spkp.sys". Поиск такого файла (FAR-ом) результатов не дал.
6.Также заметил, что в Проводнике не включается "Показывать скрытые файлы" (точно фразу не помню). Гдето у вас читал как это фиксить, не найду.
1.сделали батфайл, запустили. Выскочило 2 ошибки
То есть пара строчек не сработало. Из скриншотов видно какие. Ушел в перезагрузку.
2.После перезагрузки запустили ГМЕР.
Важно1: при стартовом сканировании он не показал ошибку как раньше. Прогресс!
Важно2: опять вышибло в перезагрузку. минут через 5, гдето в начале сканирования реестра. Лог сохранить не успел, не ожидал.
Важно3: Посмотрите лог от ГМЕР выше. Там упоминается spkp.sys
Так вот в новом сканировании (с экрана запомнил) также по тексту везде упоминался sppo.sys
Лога нету.
Прошу дальнейшей Вашей помощи.
Последний раз редактировалось Rene-gad; 21.08.2009 в 20:33.
В AVZ меню Файл Восстановление системы - в строчке
8. Восстановление настроек Проводника.
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер. Включите "Показывать скрытые файлы".
Сейчас как раз гоняю.
Хочу хоть какието следы присутствия нечисти выявить, мне комп пора возвращать. Кроме вышибания на ГМЕРе я ничего подозрительного не вижу. Это ГМЕР+НОД так шалят?
Как я понял, Вы по логам больше ничего анормального не видите (моих знаний мало).
Если так,
тогдамест засим огромнейше благодарю всех принявших участие в излечении.
Всем спасибо.
Последний раз редактировалось C0NSUL; 23.08.2009 в 00:24.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: