-
Junior Member
- Вес репутации
- 50
Помогите убить Sality.Nau
Доброго вечера. Вчера нод32 начал кричать что заражены экзешники вирусом от Sality.Nau один файл за другим но вроде остановился, и соответственно немного было заражено. Событие вызвано процессом NMIndexStoreSvr.exe, этот процесс впоследствии я убрал из автозагрузки. Затем в корне дисков С и D начали создаваться какие-то странные файлы с расширеним .exe и без него, причем название файлов это просто набор букв, и также начали создаваться autorun.inf. Я удаляю а они заново появляются. Когда процесс NMIndexStoreSvr.exe не работает то вроде бы эти файлы больше не создаются. Хочу убедиться что больше нет этой заразы, меня напрягает еще keylogger который может забрать мои данные. Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Лечимся сначал так - http://virusinfo.info/showthread.php?t=15927
Потом готовим новые логи
-
-
Junior Member
- Вес репутации
- 50
Опять началось, NOD32 обнаружил угрозу
Объект: C:\ggowsr.exe
Угроза: Win32/Packed.autofit.E.Gen приложение
Комментарий: Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\uTorrent\uTorrent.exe
Началось это когда я подключился к инету. Помогите.
Добавлено через 9 минут
Olejah, Я сегодня уже лечился только не с диска а с компа, часов 12 заняла полная проверка, и после этого отправил логи. 3 файла было удалено после проверки. Так не подойдет? Просто если опять запустить полную проверку в безопасном а потом в обычном режиме это почти сутки займет. Просто тогда может лучше переустановить винду? Нужно ваше мнение
Последний раз редактировалось dimonbk; 16.11.2010 в 22:43.
Причина: Добавлено
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\Games\Ну погоди\FileCopier.exe','')
QuarantineFile('F:\autorun.inf','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Сообщение от
dimonbk
Когда процесс NMIndexStoreSvr.exe не работает то вроде бы эти файлы больше не создаются.
Я так полагаю, что этот процесс не был запущен при сборе логов. Поэтому ничего особо интересного в них нет. Попробуйте повторить логи с запущенным процесом - мы посмотрим чего он творит.
-
-
Junior Member
- Вес репутации
- 50
Действительно процесс NMIndexStoreSvr.exe не был запущен, но чудеса уже продолжились и без него. На всякий случай я его включил. Карантин отправил.
А скрипты надо выполнять при включенном интернете или нет? Чудеса происходят когда комп подключен к сети, целый день был отключен вроде бы ничего не происходило.
К сожалению файл F:\autorun.inf я удалил еще до вашего сообщения.(
-
Сообщение от
dimonbk
А скрипты надо выполнять при включенном интернете или нет?
Да, это очень желательно, тем более, что проблема связана с этим.
-
-
Junior Member
- Вес репутации
- 50
Значит я все правильно делал, а вы получили файл карантина?
-
Карантин получили, но авторан не попал туда, причину Вы назвали выше, а этот - D:\Games\Ну погоди\FileCopier.exe - принят на обработку, но я думаю, Вы знаете что это за файл.
Дополнительно к логам АВЗ, сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
D:\Games\Ну погоди\FileCopier.exe
Если честно то я не знаю что это за файл. Провел полное сканирование MBAM
-
Ничего подозрительного. Странности продолжаются?
-
-
Junior Member
- Вес репутации
- 50
MBAM сказал мне что у меня где то 10 вирусов. Я не стал их удалять. Есть пока что одна странность. У меня ноутбук достаточно шустрый. Но в эти дни лампочка работы харда потихоньку включается и выключается как будто я что то записываю туда, хотя ничего не пишу. А самовольное появление файлов пока что не наблюдается. Я думаю в течении дня посмотрю и отпишусь.
Кстати а запускать скрипты в АВЗ нужно выключив антивирус и экран? А браузер должен быть включен в этот момент?
А системное восстановление я могу обратно включить или не нужно?
-
Смотря о каких скриптах идёт речь. Если стандартных, для сбора логов, то да.
-
-
Junior Member
- Вес репутации
- 50
Я имею ввиду не стандартные скрипты, которые вы пишите. А системное восстановление я могу обратно включить или не нужно?
-
Когда я пишу скрипт, я сразу даю рекомендации, что нужно сделать перед его выполнением. Восстановление можно включить.
-
-
Junior Member
- Вес репутации
- 50
Спасибо, в течение дня посмотрю и отпишусь
-
Junior Member
- Вес репутации
- 50
Ну вот, опять началось. Прикладываю скрин
И авторан появился и еще несколько неизвестных файлов
-
1. Сделайте полную проверку CureIt
2. Если не поможет, найдите этот файл(C:\что-то там.exe), запакуйте в zip-архив с паролем virus и пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Вчера были те же самые чудеса и я делал полную проверку CureIt, он просто нашел эти файлы и сказал что инфекция и я их удалил соответственно. Поэтому сразу отправляю Вам. Еще там соданы файлы авторан и какой то khy без расширения. Их не надо отправлять? Архив сделал но не пойму запаролился он или нет, в winrar устанавливал пароль.
А с этими странными файлами что делать, удалять или пока не надо?
-
Это Worm.Win32.AutoIt.xl, который уже детектируется, а соответственно должен вычищаться. C:\Program Files\uTorrent\uTorrent.exe - вот это деисталлируйте и посмотрите за событиями. Естественно сначала удалив вредоносный файл.
-
-
Junior Member
- Вес репутации
- 50
Только вопрос, а что является вредоносным файлом? Вы имеете ввиду, удалить эти созданные автораны и другие непонятные файлы со всех дисков, а потом удалить uTorrent, я правильно понял?