Через 10-15 минут после старта системы становится невозможна работа по протоколу FTP и через HTTP прокси. Пинги на FTP и прокси сервера ходят нормально.
Printable View
Через 10-15 минут после старта системы становится невозможна работа по протоколу FTP и через HTTP прокси. Пинги на FTP и прокси сервера ходят нормально.
Закройте все открытые приложения, кроме АVZ . Отключите - ПК от интернета/локалки - Антивирус и Файрвол. Выполните скрипт @ avz [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe','');
QuarantineFile('C:\WINDOWS\system32\nrlnwayj.dll','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.
[/code] Закачайте карантин по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=35336[/URL] P.S. адреса в файле hosts сами прописывали ?
[quote=drongo;319678]Закройте все открытые приложения, кроме АVZ . Отключите - ПК от интернета/локалки - Антивирус и Файрвол. Выполните скрипт @ avz ...Закачайте карантин по ссылке [URL]http://virusinfo.info/upload_virus.php?tid=35336[/URL] P.S. адреса в файле hosts сами прописывали ?[/quote]
Сделано. Да, адреса в hosts прописывали сами.
C:\WINDOWS\system32\nrlnwayj.dll -Net-Worm.Win32.Kido.i (kaspersky)
во первых, удалим сей подарочек,
скрипт в avz выполнить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nrlnwayj.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.[/code]
во вторых, советую пройтись
сканером в безопасном режиме, знающего данный червь.avptool например, только перед этим отключить nod32 и инет тоже .
в системной папке поищите файл nqdeolmh.ilc , если найдётся - удалить. ( можно через avz)
После всех процедур, новые логи сделать для контроля.
[COLOR=Silver][SIZE=1]"Подарочек" удалил, [/SIZE][/COLOR][SIZE=1][COLOR=Silver]nqdeolmh.ilc[/COLOR][/SIZE][COLOR=Silver][SIZE=1] не нашел, запустил avptool в безопасном режиме[/SIZE][/COLOR][SIZE=1][COLOR=Silver], оставляю сканирование, убегаю домой, утром сообщу результаты[/COLOR][/SIZE][SIZE=1][COLOR=Silver].[/COLOR][/SIZE]
Спасибо за помощь, вроде как лечится. Правда зараза успела расползтись по всей организации. Заметил что кроме system32 червь сидит в c:\Documents and Settings\NetworkService.NT Authority\Local Settings\Temporary Internet Files\Content.IE5\ бывает лежит прямо там, бывает создает папку с произвольным именем, имя файла в разных случаях разное, бывает повторяется у тех что мне попадались имя заканчивается на[1].jpeg.
Ну да, на то он червь. Легче бороться, когда антивирус знает его, иначе можно до потери пульса лечить и заражаться вновь.
Можно ограничить заражение, если все компьютеры будут под ограниченным пользователем работать, однако от нахождения червяка во временных файлах браузера- это не поможет.
в сапорт нода надо писать, с прикреплённым экземпляром, может вам повезёт и добавят в этом году, хотя сомневаюсь :)
в логах больше червя не видно, но это временно. можно ещё для повторного анализа сделать лог virusinfo_syscure.zip от специальной версии avz, она больше скрытых мест показывает.( у меня в подписи )
Пора обновлять систему, и драйвера касперско почему-то работают. avptool активный или что-то ещё от касперского? не порядок.драйвера могут мешать ноду и наоборот.
Машины с WinXP SP3 вроде бы не поддаются заражению, потихоньку ставлю всем третий сервис пак.
Забыл спросить, AVPTool ругается на кейлоггер в своем дистрибутиве, я так понимаю, это нормально?
[SIZE=2][COLOR=Silver][SIZE=1]Раньше стоял Касперский, потом великое начальство решило что мы как специалисты ничего не стоим раз им пользуемся, в результате в организации был высажден десант в виде малолетнего кулхацкера, родственника кого то из начальников, который устанавливал и настраивал НОД, так что остатки Касперского могли и остаться. Вообще политики безопасности никакой, уххх, как бы я права юзверям порезал, вот только не в моей это компетенции, я только должен разгребать последствия чьей-то криворукости и безголовости...
ЗЫ Сорри за оффтоп, наболело..[/SIZE] .[/COLOR][/SIZE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\nrlnwayj.dll - [B]Net-Worm.Win32.Kido.i[/B] (DrWEB: Trojan.DownLoad.25618)[*] \\2008-12-08\\bcqr00003.dta - [B]Net-Worm.Win32.Kido.i[/B] (DrWEB: Trojan.DownLoad.25618)[*] \\2008-12-08\\bcqr00004.dta - [B]Net-Worm.Win32.Kido.i[/B] (DrWEB: Trojan.DownLoad.25618)[/LIST][/LIST]