-
Junior Member
- Вес репутации
- 52
Помогите вылечить
Добрый день.
Симантек постоянно сообщает о попытке атаки компьютера, раз в десять минут удаляет winlogon.exe и explorer.exe. CureIt нашел и удалил 5 троянов, модифицирован файл host, после перезагрузки удаленные строки появляются вновь. Внешних проявлений никаких нет.
Последний раз редактировалось Суббота; 22.02.2011 в 17:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98511).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Файл сохранён как 110222_175401_virus_4d63ce09bd629.zip
Размер файла 300987
MD5 5dc8f51599306cdba35aa68106a7cce3
После выполнения скрипа и перезагрузки отвалился интернет и рабочий стол превратился вот в это:
-
Кнопка Восстановить рабочий стол не помогает?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Кнопка не помогает, восстановил через свойства, сеть тоже появилась после перезагрузки. Вместе с сетью появился winlogon.exe. В host - опять 184 строки.
Забыл, при подключении флэшки на ней тут же создаются авторан.инф и папка "имя_компьютера", в ней файлы имя_компьютера.exe и десктоп.ини
Последний раз редактировалось Суббота; 22.02.2011 в 19:07.
-
Сообщение от
Суббота
Вместе с сетью появился winlogon.exe.
Однако, плохого winlogon.exe в логах не видно (тот что в system32 - это "законный"). И вообще, кроме файла hosts никаких признаков заразы.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Да и внешне никаких признаков, только hosts невозможно в божеский вид превести и атаки с нескольких адресов.
В папке Windows - два файла explorer.exe. Сразу после установки Нортон обнаружил Trojan.Bamital.B!inf (по Симантеку) в winlogon.exe и explorer.exe (их два - 0,98 МБ и 80 байт)
Может быть, MBAMом пройти?
И еще - скрытые файлы и папки не отображаются, несмотря на то что видимость включена.
Вот, рискнул:
Последний раз редактировалось Суббота; 22.02.2011 в 20:42.
-
Удалите найденное в МВАМ
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
QuarantineFile('c:\windows\system32\winlogon.exe', '');
QuarantineFile('c:\windows\explorer.exe','')
Файлы чистые.
За время техработ занимался самодеятельностью - с помощью RSIT нашел в корне С: папку VIDIO с экзешником внутри, имитирующим видеофайл. После удаления hosts модифицироваться прекратил.
Из оставшихся проблем: в диспечере задач отсутствует шапка с закладками, в Мой компьютер появилась сетевая папка, не могу удалить, не отображаются скрытые файлы
-
Сообщение от
Суббота
Из оставшихся проблем: в диспечере задач отсутствует шапка с закладками
двойной кник левой кнопкой мыши в любом свободном месте вокруг рабочей области диспетчера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Спасибо, а с остальным что можно предпринять?
-
Сообщение от
Суббота
не отображаются скрытые файлы
Такой скрипт попробуйте:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После перезагрузки включите показ скрытых - должно получиться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Все получилось. Огромное спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-