Червь Win32/Conficker.AE

Printable View

04.03.2009, 23:16
Kashey

Вложений: 3

Червь Win32/Conficker.AE

Nod32 с актуальными базами переодически ругается на червя Conficker.AE
вернее, на файл созданный приложением C:\Windows\System32\svchost.exe
Также переодически выскакивает ошибка Generic Host Process for win32, после чего отваливается инет. Проверил в безопасном режиме с помощью avz4 со свежими базами, нашел пару файлов с какой-то дрянью, удалил... Проблема осталась. Помогите, плз:(
З.Ы. Еще CureIt`om сканил, тоже без толку.
04.03.2009, 23:23
Aleksandra

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
05.03.2009, 00:37
Kashey

Вложений: 1

Просканил Gmer'ом. Лог приложил
05.03.2009, 13:45
AndreyKa

Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - (no file)
O20 - AppInit_DLLs: ? ? ? ?
[/quote]
После перезагрузки сделайте новый лог HijackThis.
05.03.2009, 18:46
Kashey

Вложений: 1

Пофиксил... Лог приложил.
05.03.2009, 18:59
AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
BC_QrFile('C:\WINDOWS\System32\Drivers\awc17lin.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\HdAudi2k.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\audstunt.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\fipsex.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
05.03.2009, 19:35
Kashey

Вложений: 1

Эх... После того как отослал карантин, та же история:(
05.03.2009, 20:50
AndreyKa

Пароль на сложный поменяли?
Обновления безопасности на Windows установили?

Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html] IceSword[/url].
Запустите, слева внизу кнопка File.
Найдите по очереди файлы:
C:\WINDOWS\System32\Drivers\awc17lin.SYS
C:\WINDOWS\system32\drivers\HdAudi2k.sys
C:\WINDOWS\system32\drivers\audstunt.sys
C:\WINDOWS\system32\drivers\fipsex.sys
щелкните на нем правой кнопкой и выберите Copy to в отдельную папку, перед сохранением внизу наберите произвольное имя файла.
Скопированные файлы пришлите по Правилам.
05.03.2009, 21:19
Kashey

Файл C:\WINDOWS\System32\Drivers\awc17lin.SYS отсутствует, остальные файлы выслал
06.03.2009, 14:00
AndreyKa

Два из присланных будут детектироваться антивирусом Касперского как not-a-virus:Monitor.Win32.EliteKeylogger.30, третий not-a-virus:Monitor.Win32.EliteKeylogger.21.
Вы сами не устанавливали ничего подобного?
Если нет, то в IceSword к этим 3-м файлам примените Delete, так же как раньше копировали. Перезагрузите компьютер и сделайте новые логи.
07.03.2009, 14:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \1 - [B]not-a-virus:Monitor.Win32.EliteKeylogger.21[/B]( DrWEB: Program.EliteKeylogger.36 )[*] \2 - [B]not-a-virus:Monitor.Win32.EliteKeylogger.30[/B]( DrWEB: Program.EliteKeylogger.36, BitDefender: Spyware.Elitekeylogger.E )[*] \3 - [B]not-a-virus:Monitor.Win32.EliteKeylogger.30[/B][/LIST][/LIST]