-
Вложений: 3
Последствия вируса
Здравствуйте. Недавно на экране моего компьютера была такая вот картина (см. изобр. 1) типа пришлите смс для разблокировки компьютера, данных по этому вирусу было очень мало в интернете, но я кое как с ним справился. Судя по описанию вируса он заменяет или изменяет файл svchost.exe. Вобщем система стала притормаживать, касперский постоянно находит в папке C:\WINDOWS\system32\drivers вирусы с разными названиями типа netsik.sys, пишет что это вирус Rootkit.Win32.Agent.ikz, но полностью его не удаляет.
Данные моего компьютера:
ОС - Окна XP профешнл
Видеокарта - NVIDIA GeForse 9500GT
проц - Intel Core 2 Duo E7200 2533Гц.
Чипсет - P965/G965 Express
Bios - AMI BIOS 08.00.12
Логи:
Спасибо заранее
-
віполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('c:\windows\system32\adv.dll','');
QuarantineFile('C:\WINDOWS\system32\winhelp.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\.exe','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteService('port135sik');
QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('ati64si');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
TerminateProcessByName('c:\documents and settings\alukom-1\alexxxander.exe');
QuarantineFile('c:\documents and settings\alukom-1\alexxxander.exe','');
DeleteFile('c:\documents and settings\alukom-1\alexxxander.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\Documents and Settings\Alukom-1\Alexxxander.exe');
DeleteFile('C:\WINDOWS\system32\advazpiz.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
-
Спасибо. Сделал, какрантин отправил, напишите пожалста дошел он или нет и что у меня за вирусы, особенно интересует вирус, который просит отпр. смс
-
Дошел...
c:\documents and settings\alukom-1\alexxxander.exe-DrWEB 5.0=Зловред [B]Trojan.DownLoad.33158[/B]
C:\Program Files\Microsoft Common\svchost.exe-[B]Worm.Win32.AutoRun.admm [/B] (Kaspersky)
C:\WINDOWS\system32\config\systemprofile\.exe-DrWEB 5.0=Зловред [B]Trojan.DownLoad.33158[/B]
C:\WINDOWS\system32\msvcrt57.dll-DrWEB 5.0=Зловред [B]Trojan.DownLoad.33158[/B]
C:\WINDOWS\system32\winhelp.exe-DrWEB 5.0=Зловред [B]Trojan.Spambot.4395[/B]
-
Спасибо. Еще вопрос, почему касперский их не нашел?, вчера только всю систему им проверял, сейчас кстати на флешке находится файл autorun.inf и autorun.exe, касперский определяет их как Worm.Win32.AutoRun.fjh, но первоисточник он не находит(, а на диске С, в папке WINDOWS появилось куча папок (см. рисунок), что это?
-
Нормально это, повторите логи...
-
Вот новые логи, и все таки отчего появляются эти папки "$NtUninstall", можно ли их удалить
-
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteService('nicsk32');
QuarantineFile('G:\autorun.exe','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\autorun.exe');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteFile('C:\Documents and Settings\Alukom-1\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('nicsk32');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
-
"$NtUninstall" - обновления на windows качаете? :)
-
Вот логи, карантин отправил. Обновления может раз скачал, т.к. ком рабочий, винда лицензионная, а что лучше не качать?
-
установите сп3 + все остальные обновления в логах ничего плохого ...
-
все остальные, имеется ввиду те, что в папках $NtUninstall...(в папке Windows)?
-
Не-а, это те обновления, которая Винда со своего родного сайта засосет.
Директории эти могут пригодиться, если вдруг после обновлений что-то работать не будет.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\alukom-1\alexxxander.exe - [B]Trojan.Win32.Agent2.hdm[/B] ( DrWEB: Trojan.DownLoad.33158 )[*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.admm[/B][*] c:\windows\system32\adv.dll - [B]Backdoor.Win32.Agent.afgh[/B][*] c:\windows\system32\config\systemprofile\.exe - [B]Trojan.Win32.Agent2.hdm[/B] ( DrWEB: Trojan.DownLoad.33158 )[*] g:\autorun.exe - [B]Worm.Win32.AutoRun.admm[/B][/LIST][/LIST]
Page generated in 0.01153 seconds with 10 queries