-
Junior Member
- Вес репутации
- 55
Заражение tr_ crypt.xpack.gen 3 возможно что то еще.
Доброго времени суток!
Попал под мое попечительство очередной тазик, как обычно с полным букетом... тормозов, полтергейстов и т.п. Обычно я не парюсь все сношу ставлю чистую систему с отключенным диском D настройка антивируса и всего остального потом подключаю диск и чищу его. На этом аппарате только один диск и много данных, которые не могут быть удалены (базы бухгалтерии, складов). Висел антивирус но видимо кони и авдары его совсем замучили и он уже ни на что не обращал внимания.
Сайты антивирусов не открывались, Ваш кстати, тоже, удалось попасть только через ip ввод адреса. В общем все мои попытки самостоятельно решить проблему окончились крахом, обращаюсь к обществу.
Cure It и AVPTool выкачать не смог, попытки запустить принесенные на флэшках оканчивались невнятными зависаниями и сообщениями системы.
Остальное в прикрепленных логах, согласно правилам.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На время лечения отключите компьютер от локалки.
Пофиксите в HijackThis:
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe','');
QuarantineFile('C:\WINDOWS\system32\kquyw.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\bmbemu.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\b70bus.sys','');
QuarantineFile('C:\WINDOWS\system32\ANPD.sys','');
DeleteFile('C:\WINDOWS\system32\kquyw.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\nsvb.exe');
BC_ImportALL;
ExecuteSysClean;
BC_ServiceKill('nkoauoav');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92628).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Пофиксил, выполнил скрипт.
В папке карантина были файлы но в ходе выполнения стандартных скриптов №№ 2 и 3 папка оказалась пуста. Из карантина приложить нечего. Логи прилагаю.
После выполнения фиксов и скрипта стал выпускать на сайты антивирусов и virusinfo.info по DNS. Попытка запустить Cure It окончилась сообщением об отказе в доступе.
Последний раз редактировалось L0fD; 29.11.2010 в 04:35.
-
Ваш компьютер заражен червем Kido. Поскольку у вас SP2, то система перед ним беззащитна. Я не зря просил на время лечения от сети отключиться. Предполагалось после удаления червя сделать обновление до SP3+. В новых логах червь снова на месте.
В принципе, наверное, нет разницы - вначале лечить, а потом обновлять, или наоборот. Так что если пролечить и обновить оффлайн возможности нет, ставьте сейчас SP3 и последующие обновления, потом повторите скрипт из сообщения #2, присылайте карантин и делайте новые логи AVZ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Понял обновляюсь до SP3, пролечусь; отпишусь.
-
Junior Member
- Вес репутации
- 55
обновился до SP3.
Результаты:
Карантин:
Файл сохранён как 101129_080140_virus_4cf333b4e5d04.zip
Размер файла 1135169
MD5 719fea7453d1a00b8bcccadc08ea9ae1
-
Теперь все чисто.
Какие-то проблемы остались?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Нет все отлично, перестал постоянно шарится винт, нагрузка на процессор стабилизировалась, зависания прекратились огромное спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-