-
Junior Member
- Вес репутации
- 52
Множественные симптомы инфекции (в заголовок не влезут)
Операционка WinXP
- Внезапные перезагрузки.
- Некоторое время ПК перегружался из стандартной ограниченной учётки. Потом стал перестал загружаться -- зависание или презагруз недоходя до окна приветствия.
- под Админом зайти смог. отключил все автозагрузки. Потом и под админом не грузилося. Загрузился по F8 SafeMode. Выключил автовосстановление, проверил имеющимися антивирусами (Нод32 и Нортон) -- ничего не нашли. Ч\з выпонить>msconfig полез отключить всё что можно -- отключил, при нажатии ОК, выдало "Для изменения настроек нужны права Администратора" (фразу не помню в точности, но суть такова)
- Пробывал зайти в обычном режиме -- перегружается не доходя до экрана приветствия. В SafeMode тоже стало грузьться ч\з раз. Грешил на аппаратную часть -- отключил все сетевые карты и видеокарту (драйвера). Не грузится. Вытащил одну из двух планку памяти -- стало грузиться в СейфМод стабильно. При включении драйверов видеокарты -- перезагруз. Драйвера видеокарты выключил, загрузил сейфмод.
Закачал с другого ПК все программы, провёл все операции согласно инструкций в Правилах.
CureIt! нашёл 30 зараженных файлов и телА. Некоторые в осн.папках Нортона. Что-то удалил, другие перенёс. Лечению ничто не поддалось.
Что сейчас:
Всё грузится, но наблюдаю торможение выполнения программ
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(false);
end.
Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Сделайте лог с помощью GMER.
gmer.log
-
-
Junior Member
- Вес репутации
- 52
gjf,
Спасибо за быстрый ответ.
Уточняю:
скрипт AVZ запускать в SafeMode или в обычном режиме? (Что из-под Админа я понял)
из текста правил следует что в обычном... да оно и логично.
Последний раз редактировалось Yurij7; 25.01.2010 в 22:19.
-
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
gjf
Сделайте повторный лог
Сделал.
Запустил gmer система зависла. Ждал 2 часа, не отвисла
-
Junior Member
- Вес репутации
- 52
Сообщение от
Yurij7
Сделал.
Запустил gmer система зависла. Ждал 2 часа, не отвисла
Вопрос: прегрузить и запустить по новой?
-
Да нет, и так попробуем справиться.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'ausopqsbe'+' - Результат:'+inttostr(BC_ServiceKill('ausopqsbe')) );
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 52
Вроде бы всё сделал согласно инструкций.
Но 2 момента смущает:
1
1. Запустите AVZ*. ........
*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
........
2. Подключитесь к сети Интернет, запустите AVZ*......
Я перегружал ПК между запусками AVZ (между 1-м и 2-м пунктами). Нужно ли было это делать? Если нет, кажется нужно внести порядок в инструкцию.
2
Файрвола отдельного меня нету.
зы: если глупость сказал, сорри.
-
Junior Member
- Вес репутации
- 52
И ещё. Прошу прощения, я не запаролил архив с карантином
-
Больше ничего вредоносного в логах не видно.
Миссия выполнена
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи
-
-
Junior Member
- Вес репутации
- 52
Итак, история повторилась.
Установил СП3 с оф.сайта, поставил Комодо. Антивир нормальный не ставил пока. Жду Аваст рус.
Около недели всё работало правильно.
Потом начались проявления, описанные в первом топике.
Наблюдал неделю. Такое впечатление, что микроб этот -- имеет интеллект
Перезагрузки, торможения, зависания. Регулярности нет. Зависимости с действиями пользователя я не наблюдаю.
Но так и хочется зайти в учётку Админа, чтобы запустить проверку или оптимизацию структуры дисков.
Но я этого не делаю.
Сегодня на ночь поставлю проверку Др.Вэб.
завтра отработаю все логи согласно инструкций.
Создать новую тему, или продолжить здесь?
Последний раз редактировалось Yurij7; 10.02.2010 в 01:21.
Причина: ашипки исправлял
-
-
-
Junior Member
- Вес репутации
- 52
Продолжить получилось в сервисе 911.
Могу выложить отчёты и сюда, если нужно...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-