-
Junior Member
- Вес репутации
- 56
Букет Induc.A, Kryptik, UltimateDefender.A, Rustock.NKU
"Поймал" сразу целый букет:
Win32/Induc.A
Win32/Kryptik.AFJ
Win32/Kryptik.ABX
Win32/UltimateDefender.A
Win32/Rustock.NKU
INF/Conficker
и еще как минимум пара (в логах Noda и DrWebа почему-то не сохранилось).
Лечение Drwebом и Nodом вроде бы прошло успешно, однако:
- при старте системы стал запускаться winword (точнее сообщение о невозможности закрыть приложение так как открыто окно "Неверная единица измерения"). Ранее этого не наблюдалось
- есть ощущение что присутствует несанкционированный траффик
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe tapi.nfo beforeglav
- Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('oreans32');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\tapi.nfo','');
DeleteFile('C:\WINDOWS\system32\tapi.nfo');
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('oreans32');
ExecuteRepair(16); {восстановление ключа запуска explorer}
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
Последний раз редактировалось gjf; 28.08.2009 в 21:59.
-
-
Junior Member
- Вес репутации
- 56
После выполенения скрипта AVZ во время перезагрузки попросился сохраниться wordовский файл (отказался), затем комп завис. Пришлось resetом воспользоваться. После перезагрузки Word нее появлялся.
-
Сообщение от
chips
После выполенения скрипта AVZ во время перезагрузки попросился сохраниться wordовский файл
Правила (для тех кто в бункере сидел)
6. Отключитесь от сети Интернет и выгрузите антивирусную программу, сетевой экран (если они у Вас есть); закройте игры,
текстовые редакторы и любые другие программы,
оставьте запущенным только программу-браузер (например, Internet Explorer); если он не запущен - запустите.
Жалобы есть?
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Rene-gad
Правила (для тех кто в бункере сидел)
Жалобы есть?
Проблема в том и состояла, что winword сам несанкционированно ложился в процессы (как запущенного приложенияя его не было).
Сейчас все хорошо. Спасибо.
-
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально увеличит время нашей следующей с Вами встречи
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\tapi.nfo - Trojan-Downloader.Win32.Small.amet ( NOD32: Win32/Oficla.F trojan, AVAST4: Win32:Small-NAD [Trj] )
-