После лечения CureIt, осталось много непонятных записей.
Printable View
После лечения CureIt, осталось много непонятных записей.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\9A9954\803518.EXE','');
QuarantineFile('C:\WINDOWS\SVIQ.EXE','');
QuarantineFile('C:\WINDOWS\Mstray.exe','');
DeleteFile('C:\WINDOWS\Mstray.exe');
DeleteFile('C:\WINDOWS\SVIQ.EXE');
DeleteFile('C:\WINDOWS\system32\9A9954\803518.EXE');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system32\DETER177\lsass.exe
O4 - HKCU\..\Run: [dc2k5] C:\WINDOWS\SVIQ.EXE
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\9A9954\803518.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]
3.[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
Обновлять надо.
Тем более что там кидо:
[QUOTE]Краткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
Способы удаления
Удаление сетевого червя производится с помощью [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]специальной утилиты KK.exe[/URL].
Локальное удаление:
1. Скачайте архив [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]KK_v3.4.7.zip[/URL] и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KK.exe .
Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
3. Дождитесь окончания сканирования.
ВниманиеЕсли на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
4. Выполните сканирование всего компьютера с помощью вашего Антивируса.
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
* Установить патчи, закрывающие уязвимости [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx"]MS08-067[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx"]MS08-068[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx"]MS09-001[/URL] (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.[/QUOTE]
4. Повторить логи
Карантин выслал, сейчас обновлю систему и выполню все остальное.
Вот логи
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\smikmm.sys','');
SetServiceStart('abp470n5', 4);
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\igfxtray.exe','');
QuarantineFile('C:\WINDOWS\system32\hkcmd.exe','');
QuarantineFile('C:\WINDOWS\sttray.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\smikmm.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\smikmm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Есть подозрение на файловый вирус..
Все выполнил
Скажите у меня все или есть на что то подозрение?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\01.tmp - [B]Net-Worm.Win32.Kido.jq[/B] ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Conficker.A )[/LIST][/LIST]