Показано с 1 по 7 из 7.

Либо 5, либо 15 минут... (заявка № 96489)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2011
    Сообщений
    4
    Вес репутации
    22

    Exclamation Либо 5, либо 15 минут...

    Здравствуйте уважаемые спецы!

    Я столкнулся с достаточно неприятной бякой, которая очень интересно рубит интернет. Начнем с того, что комп моей знакомой сначала предстал передо мной в виде зоопарка, "заповедника", где происходила селекция разных-разных вирусов - даже приходило в голову, что и компьютерные вирусы могут спариваться между собой, образуя новые виды заразы. Вобщем все что мог я удалил гдето авастом (с посл обновлением), гдето сам искал по реестру и удалял. После всего этого остался комп, где были отключены наиболее опасные службы, удаленный доступ и все что с ним связано, восстановление системы, все посторонние процессы (системные я уже знаю наизусть, хотя там некоторые svhost.exe нервируют слегка) - все по минимуму короч.

    Но тут попалась опасная заковырина - рубится интернет. Дело происходит так: запускаем комп (автономно работает без проблем), подключаем интернет, ждем 5 минут - аваст находит fewh.exe в папке system32 (удаляем его), далее он чтото находит в папке Network Services (и дальше гдето в темпах, тож удаляем) и инет "встает", страницы не грузятся, состояние подключения узнать нельзя. Перезагружаем - та же картина. Нет интернета - нет никаких проблем на компе.Если игнорировать эти две заразы, то инет все равно рубится но уже через примерно 15 минут.В реестре их не уследишь, в процессах не висят, даже когда инет включен, эксплорер их не отображает даже в виде скрытых.

    Как я уже понял, зараза низкоуровневая, "руками" не удалишь. Поэтому прошу вашей помощи.Как писалось в правилах - выкладываю логи последнего AVZ.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
     DeleteFile('C:\WINDOWS\ggdrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); QuarantineFile('','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     QuarantineFile('C:\Documents and Settings\1\Application Data\bowcav.exe','');
     QuarantineFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     DeleteFile('C:\Documents and Settings\1\Application Data\bowcav.exe');
     DeleteFile('c:\recycler\s-1-5-21-5012144937-8767990819-485884194-5502\nissan.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    1. Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    2. Скачайте такую утилиу и провертесь ей

    3. Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    5. Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2011
    Сообщений
    4
    Вес репутации
    22
    Ок, сделаем, спасибо. Насчет ggdrive.exe - он ведь сидел в процессах, я его сам убивал - удалял в system32. Он настолько живуч что маскируется под другими именами? fewh.exe - его псевдоним?

  5. #4
    Junior Member Репутация
    Регистрация
    27.01.2011
    Сообщений
    4
    Вес репутации
    22
    Спасибо большое за инструкцию, все сделал по пунктам. Червь удален, интернет функционирует нормально, проверялся всеми прогами, отчеты есть. Поставил SP3, с десяток заплаток на нее сверху. В принципе все хорошо, тему можно закрывать, но если нужно проделать что-то еще - то рад стараться.

    Добавлено через 44 секунды

    Кста, карантин присылать или не надо уже?
    Последний раз редактировалось Exb; 30.01.2011 в 00:51. Причина: Добавлено

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Где лог МВАМ?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    27.01.2011
    Сообщений
    4
    Вес репутации
    22
    Цитата Сообщение от thyrex Посмотреть сообщение
    Где лог МВАМ?
    Вот
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Заражённые ключи в реестре:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\MSrtn (Trojan.Agent) -> No action taken.
    Удалите и выписываем Вас
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Exb, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 19.09.2011, 15:06
    2. Либо Rootkit, либо паранойя
      От Z3N в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 28.10.2009, 16:28
    3. Ответов: 8
      Последнее сообщение: 05.11.2008, 13:48
    4. explorer.exe либо убит либо заблокирован
      От Asteros в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.07.2008, 13:03
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 23:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00452 seconds with 21 queries