Здравствуйте!
Вновь дали на лечение бук, AVZ обнаружил червя small.NAB и множество других подозрительных файлов, прошу помощи.
Printable View
Здравствуйте!
Вновь дали на лечение бук, AVZ обнаружил червя small.NAB и множество других подозрительных файлов, прошу помощи.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Screen Task.scr','');
QuarantineFile('c:\docume~1\d8f3~1\taskmgr.exe','');
DeleteFile('c:\docume~1\d8f3~1\taskmgr.exe');
DeleteFile('C:\WINDOWS\Screen Task.scr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=fi&l=fi&s=gen
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
Если будут проблемы с открытием дисков, реколмендации по устранению проблемы [URL="http://virusinfo.info/showthread.php?t=8877"]тут[/URL].
Все сделал по пунктам, черви остаются
1. У вас поражение вирусом [B]Virus.VBS.Small.a[/B].
Для удаления выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.*');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('E:\autorun.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat[/code]
Обновите базы Касперского и обязательно проверьте все ваши съемные носители (флэшки, дискеты, mp3-плеер и т.п.).
2. Надо проверить еще пару файлов. Выполните скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\preflib.dll','');
QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
Все сделал, файл карантина прислал.
Приланные файлы чистые.
Сделайте логи еще раз, проверим результат удаления.
Посылаю
В логах все нормально. Проблема решена?
Не совсем. Поставил NOD 32 2.7 со свежими базами. Сейчас проверяю - уже нашел червя VBS small и червя Win32/Mygirl.C
NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information
NOD убил 35 червей, перезагрузился, проверил чисто. Лишь бы ничего не вылезло. Смущает процесс WLTRYSVC.EXE
[QUOTE=Михалыч;118585]NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и С:\System Volume Information[/QUOTE]
Восстановление системы отключено? Иначе долго будете мучаться.
По сути: нужны новые логи. Посмотрим что получилось.
[QUOTE]NOD нашел кучу червей ВБЭсов в директориях: C\RECYCLER\NPROTECT и [B][U]С:\System Volume Information[/U][/B][/QUOTE]
Отключить восстановление системы и провериться антивирусом со свежими базами нужно было еще до открытия темы, как это написано в правилах. Может тогда и до открытия темы бы не дошло ;)
[QUOTE]Смущает процесс WLTRYSVC.EXE[/QUOTE]
Комп Dell'овский? WiFi имеется?
[B]O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc)[/B]...
Я проверился в начале свежим Curel It с отключенным восстановлением системы, думал этого достаточно. NOD достал только сегодня, проверял тоже с отключ. восст-ем. Логи пришлю, но вроде все уже чисто.
[QUOTE]Я проверился в начале свежим Curel It [/QUOTE]
Вероятно, сделали только экспресс-проверку, которую он запускает при старте? А нужно было весь комп проверить. Не верю, что CureIt, даже не совсем свежий, пропустил бы VBS.Small.a.
Ну да ладно, главное - всех победили ;)
Логи конечно сделайте, чтобы не осталось сомнений.
[QUOTE=Михалыч;118600]Я проверился в начале свежим Curel It с отключенным восстановлением системы, думал этого достаточно. NOD достал только сегодня, проверял тоже с отключ. восст-ем. Логи пришлю, но вроде все уже чисто.[/QUOTE]
Отключенное восстановление системы
очищает директорию System Volume Information. А это не вяжется с тем, что НОД находил там вирусы.
Да, действительно, была только экспресс-проверка, а потом сразу AVZ стал проверять. Спасибо за помощь! :)
[quote=PavelA;118604]Отключенное восстановление системы
очищает директорию System Volume Information. А это не вяжется с тем, что НОД находил там вирусы.[/quote]
Вроде отключал, странно. Но после той проверки НОД больше вирусов не находил. Вам тоже спасибо за помощь, в боях с вирусами набираюсь опыта :)
Вот теперь на самом деле чисто.
Ну если что - заходите еще ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Virus.VBS.Small.a[/B] (DrWEB: VBS.Igidak)[*] e:\\autorun.inf - [B]Virus.VBS.Small.a[/B] (DrWEB: VBS.Igidak)[/LIST][/LIST]