Win32/Conficker.AA

Printable View

26.03.2009, 10:38
Sam1968

Вложений: 3

Win32/Conficker.AA

Вирус не дает работать в интернете.
Помогите, пожалуйста, избавиться.

Логи прилагаю.
26.03.2009, 11:26
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\67BE~1\LOCALS~1\Temp\idrmkl.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин, выполните
[url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]

Повторите логи...
26.03.2009, 12:19
Sam1968

Вложений: 3

Скрипт выполнил.
В карантине пусто.
KKiller ничего не нашел.
Логи прилагаю
26.03.2009, 12:28
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('idrmkl');
DeleteFile('C:\DOCUME~1\67BE~1\LOCALS~1\Temp\idrmkl.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('idrmkl');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите пункт 2 диагностики...
26.03.2009, 12:51
Sam1968

Вложений: 1

Выполнено
26.03.2009, 12:53
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C643131 ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
26.03.2009, 13:31
Sam1968

Вложений: 3

Карантин по прежнему пуст.
Логи прилагаю.

NOD32 периодически выдает такие сообщения
----------------
Bpeмя Moдуль Oбъeкт Имя Bиpуc Дeйcтвиe Пoльзoвaтeль Инфopмaция
26.03.2009 13:24:14 AMON файл C:\WINDOWS\system32\x Win32/Conficker.AD червь изолирован - удален - Ошибка при очистка - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
26.03.2009 13:24:14 AMON файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ABEJEBSD\udse[1].gif Win32/Conficker.AD червь изолирован - удален - Ошибка при очистка - действие недоступно для этого типа объекта NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
26.03.2009 13:24:14 IMON файл [URL]http://118.168.174.112:3161/udse[/URL] Win32/Conficker.AD червь Связь завершена NT AUTHORITY\SYSTEM
-------------
26.03.2009, 15:51
Sam1968

В дополнении к [url]http://www.kaspersky.ru/support/wks6...?qid=208636215[/url] установил еще одну заплатку: WindowsXP-KB958644-x86-rus.exe
Более часа было спокойно, далее не знаю, ушел от компьютера.