Наконец отлечили бухгалтерский комп.
Printable View
Наконец отлечили бухгалтерский комп.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\blink\blink.exe','');
QuarantineFile('C:\Program Files\Blink\home.js','');
QuarantineFile('C:\WINXP\MS32DLL.dll.vbs','');
DeleteFile('C:\WINXP\MS32DLL.dll.vbs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксить
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=waterfalls1aw&g=1&pc=&bd1=61&bd2=60&bd3=177&ipc=RU&sd1=5 5&sd2=54&sd3=207
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
O14 - IERESET.INF: START_PAGE_URL=about:blank
[/CODE]
E:\Setup.exe - вам знаком?
скрипт - выполнен
карантин - выслан
профиксино
E:\Setup.exe - эээ... E - это сидиром... пустой...
[size="1"][color="#666686"][B]Добавлено через 1 час 45 минут[/B][/color][/size]
:'-( ну как там? все плохо?
MS32DLL.dll.vbs - [B]Worm.VBS.Solow.a[/B]
его мы удалили,про остальные файлы, подождём ответ от ЛК
Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)... Аваст просканировал диски... И нашел опять MS32DLL.dll.vbs на С и на D (в корнях)....
[QUOTE='totoshka;122298']Я тут в ожидании ответа, поставила аваст (потому что бесплатно, потому что пугают всякими проверками)[/QUOTE]Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIT[/URL].
[quote=Maxim;122300]Напрасно. Толку от него ни какого. Лучше проведите полную проверку в безопасном режиме [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIT[/URL].[/quote]
еще раз? ну ладно... логи еще раз выслать?
[I]CureIt уже эти файлы находил, удалял, потом в AVZ их удаляли, и после всего этого Аваст их снова нашел... не такой уж он видать и бесталковый... ;) на самом деле его поставили только потому что платные антивирусы детская областная библиотека на все свои компы не потянет, если есть какой-нить бесплатный лучше Аваста - посоветуйте, плииз... А то сами знаете, проверки решили устроить всем по поводу лицензионных прог...[/I]
Давайте.
Надо еще разок поискать и поудалять autorun
[QUOTE]Every 200 seconds VBS/Solow-A enumerates available devices in attempt to copy itself with the filename MS32DLL.DLL.VBS and to create the file autorun.inf that contains instructions to autorun the copy of the worm once infected drive is accessed. This file should be deleted.[/QUOTE]
Диски сетевые подключенные есть? Если да, то отключить. Может пролезть с другого зараженного подобным вирусом.
Сейчас комп не подключен, а до этого был в доменной сети. Сейчас идет повторная проверка CureIt: удален autorun.inf с диска С,D, найдены Program.SrvAny в system32 и Blink.dll как возможный Dloader троян... Сейчас убивается карантин AVZ с прошлой проверки...
MountPoint2 удаляли, но autorun'ы не находили.....
...проверка продолжается....
Логи повторной проверки:
Диски открываются? И как вообще ощущение после лечения.
да, диски все открываются... ощущения... да вроде все нормально... только вот... "вроде все нормально" было и до этого... в смысле до повторного повторения всех операций... пока поставленный на будующее аваст не нашел все то же самое, что вроде как удалили уже удалили до этого..... все ли удалилось на этот раз? вылечен все таки комп или нет? можно возвращать бухгалтерам его?
Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.
[quote=PavelA;122419]Все-таки есть большое подозрение, что прописался он на каком-то съемном диске, который подключали к нему.[/quote]
Оба съемных дисков, что у нас есть, постоянно проверяются на наличие autorun.*
Однако на компе постоянно генерятся в реестр MountPoint2 - это нормально?
Др Веб находит:
srvany.exe в ...system32 и оставляет без лечения
SpyBot Search And Destroy нашел проблены и я их исправила. но затем AdAware2007 опять нашел вот это:
[code]Family Id: 791 Name: WhenU.SaveNow Category: Misc TAI:4
Item Id: 300016914 Value: Root: HKCR Path: wusn.1[/code]
PS: В AdAware это исправлять не стала, ибо был печальный опыт.
[size="1"][color="#666686"][B]Добавлено через 9 минут[/B][/color][/size]
[quote=Muzzle;122252]про остальные файлы, подождём ответ от ЛК[/quote]
Какие нибудь новости есть? :'-(
[B]srvany.exe[/B] - эт кусок от кряка windows SP1 ,т.к у вас SP2 можете его удалить,у него есть ещё и корешь [B]resetserice.exe[/B] :)
давайте попробуем почистить следы autorun`ов с помощью утилитки [URL="http://www.virusinfo.info/attachment.php?attachmentid=12615&d=1182990158"]anti_autorun[/URL]
Результат проги:
Мой личный - чист, испытуемый - чист.
Давайте уберём этот Blink.
C:\Program Files\Blink\blink.dll - Backdoor.Win32.Agent.aqr (по Касперскому)
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\blink\blink.exe');
DeleteFile('C:\Program Files\Blink\blink.dll');
BC_DeleteFile('c:\program files\blink\blink.exe');
BC_DeleteFile('C:\Program Files\Blink\blink.dll');
BC_DeleteSvc('Blink Service');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O9 - Extra button: Go to Blink - {95F6242A-62E4-4756-892F-F5D5D399CA25} - C:\Program Files\Blink\home.js
O23 - Service: Blink Service - Unknown owner - C:\Program Files\Blink\blink.exe" "C:\Program Files\Blink\blink.dll" Service (file missing)
[/CODE]
повторите логи
[quote=Muzzle;122516]Давайте уберём этот Blink.
повторите логи[/quote]
Давайте, правда у него uninstall есть :) ... Ну думаю AVZ надежнее будет ;) ... ушла в процесс
Такой момент вот тут [url]http://virusinfo.info/showthread.php?t=8877[/url] указано как боротся с этими авторанами.
[QUOTE]а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe[COLOR="Red"],[/COLOR] и ничего более.[/QUOTE]
Немного не понятно - нужна ли [COLOR="Red"]запятая[/COLOR] после C:\WINDOWS\system32\userinit.exe ?
нет, запятая не нужна.