Printable View
Ситуация прям один в один с [url]http://virusinfo.info/showthread.php?t=17357[/url] . Также схожа с [URL]http://virusinfo.info/showpost.php?p=178249&postcount=1[/URL]
и [URL]http://virusinfo.info/showpost.php?p=174189&postcount=1[/URL]
не видно скрытых файлов как не меняй настройки. проблем с IE не заметил, им не пользуюсь. После инфицирования аутпост прекратил нормально работать - пришлось удалить.
есть подозрения на левый трафик.
[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('xycifd');
SetServiceStart('xycifd', 4);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINXP\system32\avpo.exe','');
QuarantineFile('C:\WINXP\system32\amvo.exe','');
QuarantineFile('C:\WINXP\system32\wincab.sys','');
QuarantineFile('C:\WINXP\system32\avpo0.dll','');
QuarantineFile('C:\WINXP\system32\amvo1.dll','');
DeleteFile('C:\WINXP\system32\amvo1.dll');
DeleteFile('C:\WINXP\system32\avpo0.dll');
DeleteFile('C:\WINXP\system32\wincab.sys');
DeleteFile('C:\WINXP\system32\avpo.exe');
DeleteFile('C:\WINXP\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_ImportALL;
BC_QrSvc('asc3550u');
BC_QrSvc('xycifd');
BC_QrSvc('kbeepm');
BC_DeleteSvc('ids00118');
BC_DeleteSvc('ids0005c');
BC_DeleteSvc('ids00026');
BC_DeleteSvc('asc3550u');
BC_DeleteSvc('xycifd');
BC_DeleteSvc('kbeepm');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17376[/url]).
Сделайте новые логи.
Спасибо Bratez! Работать система стала заметно лучше, но скрытые файлы все равно не видно! В свойствах папки ставлю видеть скрытые файлы и папки, но он автоматически переставляет все обратно(( Что делать?
Выполните скрипт в АВЗ
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
Повторите логи, посмотрим как там гады все погибли или нет.
А карантин Вы загружали?
Карантин загрузил.
Выполнил скрипт... Теперь стало возможным выставить в свойствах папки видеть скрытые файлы. Но опять же не видно папки System volume information и скрытых файлов в общей папке "C".
Загрузил новые логи.
Я пробовал скантровать на руткиты гмером - он выдал рут в MBR. Как его от туда выжать??
Привешиваю скрин скантрования гмером
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINXP\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINXP\System32\drivers\al_null.SYS','');
QuarantineFile('DW.sys','');
QuarantineFile('C:\WINXP\System32\drivers\DW.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[QUOTE=fighter;181507]Привешиваю скрин скантрования гмером[/QUOTE]
Куреитом проверяли компьютер? (ссылка в правилах). Если нет, то проверьте, он может бороться с некоторыми руткитами в MBR.
2kps: Да, проверял.
2V_Bond: Проблема не решилась - System volume information все еще не видно((
ничего и не решали , у вас попросили карантин , а вы его не прислали ...
Чего-то и забыл второй раз прислать... Все, сделано!
C:\WINXP\System32\drivers\al_null.SYS -чистый
выполните скрипт ....
[code]
begin
BC_DeleteSvc('DW');
BC_Activate;
RebootWindows(true);
end.
[/code]
отображается ли System volume information в фар .... и какая у вас файловая система ?
После выполнения скрипта ничего не изменилось... Фар видет, но ничего удалить не может(( Файловая система FAT32
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 20 минут[/I][/B][/color][/size]
Есть какие-нибудь соображения на этот счет?
Запустите гмера, он должен при предварительном сканировании (сразу после запуска) обнаружить буткит.
Далее нажмите правым щелчком по красной строке и выбирите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге. Содержимое первого сектора (что Вы сохранили) пришлите по правилам (ссылка вверху темы).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\autorun.inf - [B]Worm.Win32.AutoRun.hn[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\winxp\\system32\\amvo.exe - [B]Trojan-GameThief.Win32.OnLineGames.qiq[/B] (DrWEB: Trojan.MulDrop.6474)[*] c:\\winxp\\system32\\amvo1.dll - [B]Trojan-GameThief.Win32.OnLineGames.qiq[/B] (DrWEB: Trojan.PWS.Wsgame.2387)[*] c:\\winxp\\system32\\avpo.exe - [B]Worm.Win32.AutoRun.hn[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] c:\\winxp\\system32\\avpo0.dll - [B]Worm.Win32.AutoRun.hn[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] d:\\autorun.inf - [B]Worm.Win32.AutoRun.hn[/B] (DrWEB: Win32.HLLW.Autoruner.437)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.hn[/B] (DrWEB: Win32.HLLW.Autoruner.437)[/LIST][/LIST]