Принесли на прошлой неделе очередной ноут. Он был пролечен с LivaCD Dr.Web'a и потом ещё CureIt'ом для уверенности. Вроде как бОльшая часть заразы изведена, но осталась одна проблема - не запускается антивирусное ПО. Логи прикладываю
Принесли на прошлой неделе очередной ноут. Он был пролечен с LivaCD Dr.Web'a и потом ещё CureIt'ом для уверенности. Вроде как бОльшая часть заразы изведена, но осталась одна проблема - не запускается антивирусное ПО. Логи прикладываю
1. Please, disable System Restore and antivirus (if you have).
2. Execute this script in AVZ:
After reboot execute this script in AVZ:Код:begin SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\Winov63.sys',''); DeleteService('Winyh20'); DeleteService('Winuc18'); DeleteService('Winov63'); DeleteService('Winah20'); DeleteService('Udk17'); DeleteService('tcpsr'); DeleteService('restore'); DeleteService('Mud70'); DeleteService('Hou53'); DeleteService('Aip76'); DeleteFile('C:\WINDOWS\System32\Drivers\Aip76.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hou53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mud70.sys'); DeleteFile('C:\WINDOWS\system32\drivers\restore.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Udk17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winah20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winov63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuc18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyh20.sys'); DeleteFile('C:\WINDOWS\system32\djki397g.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler','{B5AF0562-94F3-42BD-F434-2604812C797D}'); DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler','{B5AC49A2-94F2-42BD-F434-2604812C897D}'); DeleteFile('WinCtrl32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyWinCtrl32','DLLName'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
Upload file C:\quarantine.zip, by link http://virusinfo.info/upload_virus.php?tid=62693Код:begin CreateQurantineArchive('C:\quarantine.zip'); end.
3. Execute this script in AVZ:
4. Fix in HijackThis:Код:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
5. Make a new logs.O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Последний раз редактировалось Aleksandra; 07.12.2009 в 17:39.
Сердце решает кого любить... Судьба решает с кем быть...
In last script there is the mistake: system message is "Ошибка: Undeclared identifier: "RegKeyExistsEx" в позиции 12:19"
Последний раз редактировалось CyberDyne; 07.12.2009 в 13:53.
В скрипте нет ошибки. Вам необходимо скачать обычную версию AVZ 4.32, обновить базы и выполнить скрипт.
Сердце решает кого любить... Судьба решает с кем быть...
Ок
Сделано - АВЗ заработал.
Карантин загружен.
Файл сохранён как 091208_092241_Quarantine_4b1df0b196867.zip
Размер файла 20317
MD5 75f0ae392148449e0e10c80f494864e6
Симптомов вроде больше нет.... вроде всё работает.
Последний раз редактировалось CyberDyne; 08.12.2009 в 09:50.
Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Сделано.
Логи загружены
ОтключитьВосстановление системы: включено
Базы обновить, логи переделатьВнимание !!! База поcледний раз обновлялась 08.10.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Сделано
- В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8.
- Обновите OpenOffice.
Спасибо всем большое за помощь и советы!
ЗЫ Ребят, вот всё хотел поинтересоваться, как вы так глубоко эту заразу находите и точно знаете какой скрипт надо написать? Вот тоже очень хочу научиться также :-) - у вас есть какой-либо материал по этому поводу или вы очень закрытая организация?
ЗЫЫ Да и кстати что за зараза-то в итоге была? Как хоть она называется?
http://virusinfo.info/profile.php?do=editusergroups и сделайте заявку на вступление в группу студентов. Запаситесь терпением: наплыв желающих больше, чем мы в состоянии обучить.
C:\WINDOWS\system32\drivers\Winov63.sys-Trojan-Downloader.Win32.Mutant.aim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\winov63.sys - Trojan-Downloader.Win32.Mutant.aim ( AVAST4: Win32:Agent-VGV [Wrm] )
Уважаемый(ая) CyberDyne, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.