Virut.56

Printable View

06.06.2009, 16:49
Ator

Вложений: 1

Virut.56

Доброго времени суток.
Пару дней назад одолел сабж. Началось все с невозможности залогиниться в систему (после нажатия на иконку учетной записи тут же следовало завершение сеанса). Но это я победил через безопасный режим и реестр (была левая ссылка на userinit.exe - вместо <путь>/userinit.exe было <путь>/userinit.exe,userinit.exe). Убрал второй ехе, помогло.
Далее, когда впервые прогудел Аваст (отказавшись вылечить какой-то exe-шник), решив, что cureIt с этим справится, поставил полное сканирование. Обнаружил инфицированным он каждый второй (да если не каждый) исполняемый файл на диске, а лечить отказался наотрез. Тогда был скачан dr. Web LiveCD и AVZ. Первый подобно cureIt нашел много, но тщетно, а второй вообще объявил, что все чисто. Полез копать в интернете, обнаружил целый алгоритм "просьбы о помощи".
Логи в аттаче, выручайте :(
06.06.2009, 17:10
V_Bond

почему логи в safe mode ? - все операции віполнять в нормальном режиме ....
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
скачайте заново авз и повторите логи(как написано в правилах)
06.06.2009, 18:13
Ator

Вложений: 1

[QUOTE=V_Bond;412845]
скачайте заново авз и повторите логи(как написано в правилах)[/QUOTE]

Сделал.
Карантин отправил.

p.s. Если карантин пришел 2 раза - прошу прощения, т.к. совсем запамятовал правильно назвать и запаролить. Пришлось отменить и сделать заново.
06.06.2009, 18:30
V_Bond

в смстеме файловый вирус [url]http://virusinfo.info/showthread.php?t=15927[/url]
08.06.2009, 23:07
Ator

[quote]Ваш запрос был проанализирован. Комментарии к Вашему запросу:

Лечение исправлено.

Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
[/quote]

[b]V_Bond[/b]: большое спасибо за помощь.
Что это файловый вирус догадался-то и сам, а вот ссылка очень помогла - прочитать то, что там написано ВНИМАТЕЛЬНО и обратиться в drweb.
08.06.2009, 23:18
light59

После лечения логи повторите.
09.06.2009, 23:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\svchost.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56 )[*] c:\windows\system32\svchost.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56 )[*] c:\windows\system32\userinit.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56 )[*] c:\windows\winlogon.exe - [B]Virus.Win32.Virut.ce[/B] ( DrWEB: Win32.Virut.56 )[/LIST][/LIST]