Страшные вирусы

Printable View

01.08.2009, 20:29
B_l_a_c_k_(m.s)

Страшные вирусы

Здравствуйте.
Постараюсь объяснить ситуацию как можно шире.
Вообщем ситуация такова : Вирусы Dialer.Siggen.121 и BackDoor.IRC.Sdbot.4632 перерождаются в дерикторию (C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\ так же как и C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\) каждый раз после ручной чистки или чистки "Доктор Вебом", и создает в этих директориях файлы типа xx[2].exe, с[1].exe и так далее.. Собственно проблема не в этом, а в том что параллельно это отключает (думаю что именно этот процесс, так как проблем несостыковки софта и железа нет) интернет. При том значок в трее продолжает висеть не моргая, его нельзя ни отключить не посмотреть статус. Помогает только перезгрузка, но каждые 5 минут перезагружать компьютер - бред.
3 файла будут в ближайшие 5 минут.
01.08.2009, 20:41
B_l_a_c_k_(m.s)

Вложений: 3

3 файла
01.08.2009, 20:48
AndreyKa

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\RECYCLER\S-1-5-21-1749082590-5853730295-293991616-1711\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1749082590-5853730295-293991616-1711\mwau.exe');
SysCleanAddFile('C:\Program Files\Bonjour\mDNSResponder.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Обновления безопасности на Windows надо устанавливать. Лучше начать с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).
Обновите Java.
01.08.2009, 21:34
B_l_a_c_k_(m.s)

Вложений: 1

Архив карантина прислал. Дошел?
01.08.2009, 21:58
AndreyKa

Карантин дошел.
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
BC_DeleteSvc('GarenaPEngine');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LYT47.tmp','');
BC_DeleteSvc('srwsvc');
QuarantineFile('C:\WINDOWS\system32\drivers\Qsaf.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\Qsaf.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\LYT47.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Почему вы не используете обычный AVZ?
01.08.2009, 22:21
B_l_a_c_k_(m.s)

Вложений: 1

Карантин выслал.Дошел?
Этот я скачал в подписи у кого то из ваших сотрудников.А чем этот плох?
01.08.2009, 22:34
AndreyKa

Карантин дошел.
[QUOTE='B_l_a_c_k_(m.s);441405']А чем этот плох? [/QUOTE]
У этого базы не обновляются.
Глаза разбегаются от большого числа неопознанных файлов. Я ещё один троян просмотрел. :(
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
01.08.2009, 22:47
B_l_a_c_k_(m.s)

Вложений: 1

Сделано.Карантин дошел?
Что дальше?
01.08.2009, 23:04
AndreyKa

Дошел: C:\WINDOWS\system32\sysmgr.exe = Net-Worm.Win32.Kolab.dep

В логе чисто.
Дальше будем ждать, пока через дыры Windows на компьютер не пролезет очередной зловред. ;)
02.08.2009, 00:30
B_l_a_c_k_(m.s)

Огромное спасибо:) .. но что то мне подсказывает что не один процесс за этим стоял, ибо файлы также появляются:( и оставляют свои копии на диске С также:( антивирус безсилен, показывает что опять создался вирус и ничего сделать не может..думаю это что то серьезное..
02.08.2009, 00:35
B_l_a_c_k_(m.s)

Вложений: 1

нашел новое логово ... вообщем щас запустился процесс под названием 53.scr в процессах, антивирус распознал как вирус ...я сделал пойск в виндоус и нашел кучу таких файлов с разными цифрами..вообщем я уже потерял всякую надежду...(
02.08.2009, 01:09
AndreyKa

Почитайте: [url]http://virusinfo.info/showthread.php?t=30339[/url]
02.08.2009, 13:11
B_l_a_c_k_(m.s)

знаете ли, если я перейду на другую учетку, более ограниченую, вирусы не пропадут сами по себе и проблема тоже..прочитал..что делать никак не понял..моя ситуация настолько безнадежна?

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 35 минут[/I][/B][/color][/size]

поможет кто нибудь?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

кстати переустановка виндоус поможет?

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

кароч пойду переустанавливать, чем сидеть и ждать ответа целый день..спасибо вообщем.КЛОЗЕД
03.08.2009, 13:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-1749082590-5853730295-293991616-1711\mwau.exe - [B]Trojan.Win32.Buzus.brhg[/B] ( DrWEB: Win32.HLLW.Autoruner.7323 )[*] c:\windows\system32\drivers\qsaf.exe - [B]Backdoor.Win32.SdBot.ofw[/B] ( DrWEB: BackDoor.IRC.Letmein.12, BitDefender: Trojan.Agent.ANHD )[*] c:\windows\system32\sysmgr.exe - [B]Net-Worm.Win32.Kolab.dep[/B] ( DrWEB: Trojan.MulDrop.33045 )[/LIST][/LIST]