Показано с 1 по 11 из 11.

Последстаия действий вируса (заявка № 55163)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54

    Thumbs up Последстаия действий вируса

    На машину проник вирус через флешку (autorun.inf на оной сработал), сразу же отключил реестр, диспечер устройств. Переустановил систему. По-видимому, после запуска червь просканил локальные диски и заразил исполняемые файлы, так как после запуска нескольких инсталляшек с локального диска снова обнаружились последствия вируса: отключен диспечер задач, редактор реестра, TweakUI с панели управления. Кроме этого всего происходит блокирование к офф сайтам антивирусов, не запускается касперский, avz(а если и запускался, то через секунду отключался), иногда в процессах появлялось два исполняемых файла(каждый раз названия разные), родом из Windows\Temp, в автозагрузке был файл на запуск is-823(или что-то подобное). Стандартный avz запускаться не хотел, здесь на форуме нашел в подписи у кого-то модифицированный вариант avz (game.pif), при запуске установщика Virus Removal Tool (setup_7.0.0.290_01.04.2009_21-50) система ушла в БСОД, безопасный режим не работает. В закачках торрента размеры исполняемых файлов изменились и перекачивались.
    Сейчас лишних процессов не наблюдается(просматриваю Process Explorer), хочется вернуть обратно диспечер, реестр и возможность запустить антивирус.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('abp470n5');
     SetServiceStart('abp470n5', 4);
     QuarantineFile('C:\WINDOWS\system32\regsvr32.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rrhhkn.sys','');
     QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
     QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
     QuarantineFile('c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif','');
     DeleteFile('C:\WINDOWS\system32\drivers\rrhhkn.sys');
     DeleteFile('C:\WINDOWS\system32\regsvr32.exe');
     DelCLSID('2C7339CF-2B09-4501-B3F3-F3508C9228ED');
     DelCLSID('89820200-ECBD-11cf-8B85-00AA005B4340');
     DeleteService('abp470n5');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     ExecuteWizard('TSW', 1, 1, true);
     ExecuteWizard('BT', 1, 1, true);
     RebootWindows(false);
    end.
    Загрузите карантин согласно приложению №3 правил. Обновите базы AVZ. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54
    После выполнения скрипта в окне лога писалась о снятии блокировки с диспечера и реестра. После выполнения перезагрузки изменений не видно.

    Идентификатор файла карантина 090920_142740_virus_4ab6039c61d75.zip

  5. #4
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54
    Кстати, когда KIS 8 еще мог говорить, ругался на исполняемые файлы. В них были замечены экземпляры разновидности червя Worm.Sality.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А что это за файл c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif ? АВЗ, которым Вы делали логи? Выполните скрипт
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
     QuarantineFile('C:\WINDOWS\system32\wuapi.dll.wusetup.1639687.bak','');
    end
    Загрузите карантин согласно приложению №3 правил.

    Добавлено через 7 минут

    Выполните вот это http://support.kaspersky.ru/faq/?qid=208636131 и потом давайте свежие логи.
    Последний раз редактировалось Макcим; 20.09.2009 в 15:52. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54
    c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif да, этой версией и работаю. Стандартная версия после запуска или висит в списке процессов, или сразу же закрывается после старта.
    по ссылке http://support.kaspersky.ru/faq/?qid=208636131пройти не смогу, так как писал ранее, блокируется доступ к сайтам *kaspersky.*
    Если возможно, процитируйте здесь содержимое ссылки

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вот Вам содержимое ссылки вместе с утилитами http://www.filehoster.ru/files/dl9060 После того как всё выполните скачайте заново AVZ, обновите базы и сделайте свежие логи.

  9. #8
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54
    SalityKiller не помог, да и работа его была несколько странной: завершал сканирование диска преждевременно, а через время вообще не производил никаких действий. Так же ранее пробовал KKiller продукт от Kaspersky Lab но ничего не находил.
    Как один из вариантов придется переустановить систему и попробовать поставить касперского, или установить висту и под ней чистить от зловреда. Под ней хоть КИС 8 работает.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Возможность записать LiveCD с антивирусом у вас есть? Если да, выложим .iso образ диска на файлообменник.

  11. #10
    Junior Member Репутация
    Регистрация
    20.09.2009
    Сообщений
    6
    Вес репутации
    54
    Установил Висту. Из софта поставил только Касперского 8 версии и прогнал поиск по дискам. Все исполняемые файлы были инфицированы виросом типа Virus.Win32.Sality.aa. Лечение дало результаты, исполняемые файлы запускаются без видимых проблем. Иногда при откоытии папки диска появляется окно с предупреждением о наличии вируса в исполняемом файле и сразуже сообщение о его лечении. Полагаю, ветку можно закрывать.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\java\jre6\bin\jqs.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )


  • Уважаемый(ая) VarLone, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия не обдуманных действий
      От Владимир_а в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 30.11.2010, 14:57
    2. Последствия вируса.
      От Julia в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.08.2010, 18:40
    3. Ответов: 4
      Последнее сообщение: 22.12.2009, 08:31
    4. Последствия вируса
      От Постовой в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.08.2008, 11:11
    5. Последствия вируса?
      От ALmazini в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 05.05.2008, 12:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00672 seconds with 19 queries