Добрый день! Зажил такой вирус на компе. Последую схеме, описанной в теме [U]от 07.05.2007г[/U]. Антивирус DRWEB. Живет около трех недель :)
Printable View
Добрый день! Зажил такой вирус на компе. Последую схеме, описанной в теме [U]от 07.05.2007г[/U]. Антивирус DRWEB. Живет около трех недель :)
Прошу извинения. Прошел вчера DrWeb в безопасном режиме. Обнаружено 48 записей. Попытка перемещения в карантин привела почему-то к удалению почти всего. Зачем? Очень испугало кол-во записей. Теперь Виндоуз при загрузке в нормальном режиме все время перегружается. Файл ntndis в drivers DrWeb похоже удалил. Что можно сделать? Заранее спасибо
[size="1"][color="#666686"][B]Добавлено через 14 минут[/B][/color][/size]
P.S. отправить все как нужно по правилам без норм. режима Виндоуз, уже не получается.
выполните правила из безопасного режима + дополнительный лог как сказано тут
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Добрый ближе к вечеру. Получились вот такие результаты. :) На диске Д тоже операционка стоит. Диск Д правда не включил, терпение подкачало.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
ExecuteSysClean;
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.traffer.ru/
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - HKLM\..\Run: [mssrv32] c:\windows\system32\mssrv32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Попробуйте сделать логи в нормальном режиме.
Спасибо огромное!!! Выкладываю логи, полученные в нормальном режиме. Что-то есть по мелочи.
Немного волнуют три иконки программ на корню в С: load-black, new & zupachaPack. AVZ & DrWeb ничего похого в них не видят, появились недавно. А в констектном меню при работе с файлами осталось "Открыть Штирлицем".
[QUOTE='Nikos;121212']Немного волнуют три иконки программ на корню в С: load-black, new & zupachaPack.[/QUOTE]Заархивируйте их с паролем virus и пришлите через эту [URL="http://virusinfo.info/upload_virus.php?tid=10870"]ссылку[/URL]. Проследите, чтобы попали *.exe файлы (по идеи они должны быть).
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Больше ни чего подозрительного в логах нет.
mssrv32.exe - [B]Trojan-Downloader.Win32.Agent.aii[/B] (по Kaspersky).
Это наверное уже сообщение завтрашнего дня.:) Архивы virusy & virus2 закачаны. Итак план на сегодня перевыполнен :)
new.exe_ - Packed.Win32.PolyCrypt.b,
zupachaPack.exe_ - Email-Worm.Win32.Zhelatin.ch (по Касперскому )
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\load-black.exe_');
DeleteFile('c:\new.exe_');
DeleteFile('c:\zupachaPack.exe_');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторите логи
[QUOTE='Muzzle;121240']повторите логи[/QUOTE]
[B]Muzzle[/B], в логах их не видно... Подозреваю что это ещё не всё...
Добрый вечер! Вчера не удалось получить доступ к компюютеру в полном объеме,
нагоняю сегодня :). Три приложения из архива virusy скрипт не убил. При сборе информации в syscheck сканировалось только 333 объекта. :?
Попробовал еще раз скрипт прогнать, перегрузился - три брата (сестры) на С невредимы. Хоть бы что ...
Живучие.
давайте так попробуем
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\load-black.exe');
DeleteFile('c:\new.exe');
DeleteFile('c:\zupachaPack.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
и пофиксите в hijackthis
[CODE]O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.2.cab[/CODE]
Все!!! С тремя прогами на корню покончено :)
Пофиксил
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC ...
На всякий случай прикрепляю лог из Хайджеквиз. Спасибо!!!
Алелуя ;)
начните отключать не нужные сервисы : удалённый рабочий стол, нетмитинг...
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mssrv32.exe - [B]Trojan-Downloader.Win32.Agent.aii[/B] (DrWEB: Trojan.MulDrop.8347)[*] \\new.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[*] \\zupachapack.exe - [B]Email-Worm.Win32.Zhelatin.ch[/B] (DrWEB: Trojan.Spambot)[/LIST][/LIST]