-
Junior Member
- Вес репутации
- 50
Вирус Sality
Второй день борюсь с вирусом. НОД во время проверки выдал зараженные файл вирусом Sality и удалил их. С помощью него удалось частично избавится от вирус, удалось разблокировать диспетчера процессов, реестр и безопастный режим. Но до сих пор создаются файлы *.exe, *.pif и autorun.inf
Логи прилогаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\rnkq.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\uixkki.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Program Files\Windows Sidebar\.\regsvr32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\jllnln.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jllnln.sys');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\uixkki.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\rnkq.exe');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
Карантин не получилось отправить. Пишет что файл уже был загружен. После выполнения скрипта и повторного запуска авз опять полезли вирусы. Пришлось заменить АВЗ выполнить скрипт повторно, после перезагрузки опять таки заменял avz.exe но новый с неифицированного компа. Делаю повторные логи. Карантин, если нужно, могу приложить во вложение.
-
Junior Member
- Вес репутации
- 50
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('amsint32');
DelCLSID('{6B9228DA-9C15-419e-856C-19E768A13BDC}');
DelCLSID('{34A19196-274E-4D75-9D30-D7A45A0A4178}');
DeleteFile('C:\Program Files\Windows Sidebar\.\regsvr32.exe');
DeleteFile('C:\windows\system32\drivers\jllnln.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 50
-
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-