Printable View
Поставил "чистую" систему WinXP SP3. Первым делом установил последнюю версию NOD32 вместе с последними базами. Проверил компьютер - сразу вирус, который не удаляется. Антивирус говорит:
Operating memory - Win32/Rootkit.Agent.ODG trojan - unable to clean
Пока выполнял инструкцию данного форума, обнаружился ещё один вирус:
\\?\globalroot\systemroot\system32\kbiwkmduhxwbwe.dell
a variant of Win32/Kryptik.ZV trojan
unable to clean/delete
Заранее спасибо за помощь! У вас отличный форум :094:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\kbiwkmiqhrlnsc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\kbiwkmiqhrlnsc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
запрошенный карантин прикрепил
прикрепляю лог gmer
странно он как-то прикрепляется :)
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys','');
DeleteFile('c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys');
QuarantineFile('c:\windows\system32\kbiwkmdeutepae.dll','');
DeleteFile('c:\windows\system32\kbiwkmdeutepae.dll');
QuarantineFile('c:\windows\system32\kbiwkmduhxwbwe.dll','');
DeleteFile('c:\windows\system32\kbiwkmduhxwbwe.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service kbiwkmpqquxdab
gmer.exe -del file "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys"
gmer.exe -del file "c:\windows\system32\kbiwkmdeutepae.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmpbpjwsrf.dat"
gmer.exe -del file "c:\windows\system32\kbiwkmduhxwbwe.dll"
gmer.exe -del file "c:\windows\system32\kbiwkmyksiqvre.dat"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmpqquxdab"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kbiwkmpqquxdab"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
карантин прислал.
новый лог gmer прикладываю.
при выполнении скрипта gmer несколько раз выскакивали сообщения об ошибке:
[QUOTE]---------------------------
GMER
---------------------------
An error 0x00000002 occured during the deletion of file: "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys": The specified module could not be found.
---------------------------
OK
---------------------------
---------------------------
GMER
---------------------------
An error 0x00000002 occured during the deletion of file: "c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys": The specified module could not be found.
---------------------------
OK
---------------------------
---------------------------
GMER
---------------------------
An error 0x00000002 occured during the deletion of file: "c:\windows\system32\kbiwkmduhxwbwe.dll": The specified module could not be found.
---------------------------
OK
---------------------------
---------------------------
GMER
---------------------------
DeleteKey: The specified module could not be found.
---------------------------
OK
---------------------------
[/QUOTE]
Лог gmer чистый. Жалобы есть?
Жалоб нет :) Мои наилучшие пожелания создателям и участникам данного проекта :)
Осталось только несколько вопросов:
1. Как получилось, что я заразился, если у меня всегда стоял NOD32 с более-менее актуальными базами?
2. Почему NOD не может удалить этот вирус, хотя может его обнаружить? Есть ли "автоматические" средства для обнаружения и удаления таких вирусов? Или это можно делать только вручную?
3. В случае моего перехода на Vista - шансы заразиться были бы такими же? А шансы вылечиться в автоматическом режиме?
4. Что мне делать, чтобы избежать заражений в будущем? У меня стоит NOD32 + Windows Firewall + SP3 + автообновления. Я так понимаю, что этого уже недостаточно...
[QUOTE='dandaka;451166']В случае моего перехода на Vista - шансы заразиться были бы такими же? [/QUOTE]
Чаще всего причина заражения находится в полуметре от монитора. Шансы, я думаю, не меньше.
[QUOTE='dandaka;451166']Что мне делать, чтобы избежать заражений в будущем? [/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=30339"]Почитайте это[/URL], много полезного и интересного.
[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]
[QUOTE='dandaka;451049']Поставил "чистую" систему WinXP SP3. Первым делом установил последнюю версию NOD32 вместе с последними базами. Проверил компьютер - сразу вирус,[/QUOTE]
Кстати, интересно откуда он выплыл. Флешки все проверили? Или может софт какой специфический ставили? :)
Сегодня антивирус снова выдал сообщение, что мой компьютер заражен. Вчера компьютер был чист.
1. Стоит Windows Firewall
2. Стоит NOD32 версии 4.0.437, базы от 2009.08.18 (самые свежие)
3. Флешки не втыкал, автозапуск отключен
4. Все диски проверены на вирусы
5. Программы, которые я мог устанавливать, по идее проверялись тем же NOD
6. Система WinXP SP3, все обновления проведены
Откуда он мог взяться опять? Заражение через сеть? Что нужно сделать, чтобы он не появлялся вновь? Поставить Outpost Firewall?
Сделайте свежие логи...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\kbiwkmiqhrlnsc.sys - [B]Trojan.Win32.Tdss.aogy[/B] ( DrWEB: BackDoor.Tdss.403, AVAST4: Win32:Alureon-CO [Rtk] )[*] c:\windows\system32\kbiwkmdeutepae.dll - [B]Packed.Win32.TDSS.z[/B] ( AVAST4: Win32:Alureon-CO [Rtk] )[*] c:\windows\system32\kbiwkmduhxwbwe.dll - [B]Trojan.Win32.Agent.cumi[/B] ( AVAST4: Win32:Alureon-CO [Rtk] )[/LIST][/LIST]