Вирусы

Printable View

20.04.2009, 22:15
Grower

Вирусы

Жена сообщила, что компьютер не пускает в интернет и требует отправить СМС за деньги.
В папке профиля была какая-то программа Aldea. Снёс её и вычистил реестр.
Также в папке профиля был файл user.exe. Тоже снёс и почистил реестр.
NOD32 не запускается.
После каждой перезагрузки AVZ и regedit невозможно запустить. Приходится переименовывать
файл avz.exe, затем делать AVZ->Восстановление системы->все галочки.
Посмотрите, пожалуйста, логи...
20.04.2009, 23:34
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Severnet.lnk','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('amd64si');
QuarantineFile('C:\WINDOWS\system32\drivers\amd64si.sys','');
QuarantineFile('C:\WINDOWS\system32\driversk.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
21.04.2009, 00:04
Grower

Карантин выслал:
---------------
Файл сохранён как 090421_000326_virus_49ecd50ed8305.zip
Размер файла 65364
MD5 fb81fd407087091198cd9167767be846
---------------
После скрипта ничего не изменилось - AVZ запускается только после переименования. NOD не поднялся...
Вот новые логи.
21.04.2009, 00:18
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Macromedia LM Service');
DeleteFile('C:\WINDOWS\system32\driversk.exe');
DeleteFile('digiwet.dll');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
21.04.2009, 00:54
Grower

Спасибо!
NOD заработал. AVZ теперь запускается без переименования. Вроде всё ОК. Но есть 2 проблемы: после появления значков на рабочем столе проходит больше 2-х минут, до тех пор, когда можно запускать программы. До этого времени комп молчит, HDD не активен. Если что-то запустить - появляются песочные часы. И вторая проблема - не очищается корзина. При попытке очистить её или открыть - песочные часы на неопределённое время (я до 10 минут ждал). Проверил корзину NOD'ом - 3600 файлов, но вирусов нет.
Эти 2 беды можно как-то вылечить?
21.04.2009, 13:52
Grower

Я дико извиняюсь...
21.04.2009, 18:44
light59

Очистите корзину так [URL="http://virusinfo.info/showthread.php?t=30250"]http://virusinfo.info/showthread.php?t=30250[/URL].

И почистите систему от мусора [URL="http://virusinfo.info/showthread.php?t=10025"]http://virusinfo.info/showthread.php?t=10025[/URL].
В логах ничего плохого.
22.04.2009, 18:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\digiwet.dll - [B]Trojan-Downloader.Win32.Injecter.crm[/B] ( DrWEB: Trojan.Botnetlog.3 )[*] c:\windows\system32\driversk.exe - [B]Email-Worm.Win32.Joleee.nu[/B] ( DrWEB: BackDoor.IRC.Bot.114 )[/LIST][/LIST]