-
Вложений: 2
ещё один потерпевший
Вообщем пока я ходил ту машину уже увалили, но имеется ещё один потерпевший и ситуация там на момент моего прихода была следующая: местные "хакеры" восстановили защищённый режим, пролечили в нём всё CureIt-ом, а в основном режиме установили в автозагрузку утилиту sality_off от Лаборатории Касперского.
Я запустил полную проверку CureIt с CD в защищённом режиме - действительно, диск как будто чист; предварительно обнулённые с загрузочного диска disable-ключи диспечера задач и редактора реестра позволяют их запуск, однако при загрузке в обычном режиме диспечер задач и редактор реестра становятся вновь недоступны а в окне утилиты sality_off регистрируются попытки заражения exe файлов автозапуска
Складывается впечатление, будто какой-то зловред, активный только в основном режиме собирает Sality из отдельных частей, недетектируемых по отдельности, и запускает его...
Логи AVZ(evrika.pif) с машины прилагаю(забыл хайджекзис но обещаю в скорости управится):
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Page generated in 0.00821 seconds with 10 queries