Не могу удалить вирусы

Printable View

10.09.2009, 17:05
BobiD

Вложений: 3

Не могу удалить вирусы

Здравствуйте. Хочу обратиться к вам за помощью. Не могу удалить вирусы уже около 2 недель. После удаления антивирусом Касперского постоянно появляются снова. Так же мною замеченно загрузка процессора на 50%-60% по не понятным причинам. Пойманы такие как Backdoor.Win32.IRCBot.lav, Backdoor.Win32.SdBot.oma, Net-Worm.Win32.Kido.ih, Net-Worm.Win32.Kolab.dss.
10.09.2009, 17:37
PavelA

Worm.Win32.Kido.ih - КидоКиллером лечились? Заплатки все стоят?
10.09.2009, 17:56
DefesT

[QUOTE=PavelA;465541]Worm.Win32.Kido.ih - КидоКиллером лечились? Заплатки все стоят?[/QUOTE]
Если нет, то поставить заплатки.
[URL]http://www.microsoft.com/rus/technet/security/Bulletin/MS08-067.mspx[/URL]
[URL]http://www.microsoft.com/rus/technet/security/Bulletin/MS08-068.mspx[/URL]
[URL]http://www.microsoft.com/rus/technet/security/Bulletin/MS09-001.mspx[/URL]
и пролечиться КидоКиллером [URL]http://www.kaspersky.ru/news?id=207732936[/URL]
Выполнить скрипт в АВЗ (программы все закрыть, антивирус отключить):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\sys32_nov.exe');
QuarantineFile('C:\WINDOWS\system32\sys32_nov.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\sys32_nov.exe','');
QuarantineFile('C:\Documents and Settings\Bratishka\sys32_nov.exe','');
QuarantineFile('C:\WINDOWS\system32\06E.tmp','');
QuarantineFile('C:\WINDOWS\system32\06A.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys','');
QuarantineFile('c:\windows\system32\sys32_nov.exe','');
DeleteService('lumaplq');
DeleteService('ujcyankg');
DeleteFile('c:\windows\system32\sys32_nov.exe');
DeleteFile('C:\WINDOWS\system32\06A.tmp');
DeleteFile('C:\WINDOWS\system32\06E.tmp');
DeleteFile('C:\Documents and Settings\Bratishka\sys32_nov.exe');
DeleteFile('C:\Documents and Settings\NetworkService\sys32_nov.exe');
DeleteFile('C:\WINDOWS\system32\sys32_nov.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
DeleteFile('C:\WINDOWS\system32\khfGabxY');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('lumaplq');
BC_DeleteSvc('ujcyankg');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR=darkred][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета. Сделайте новые логи по правилам.
10.09.2009, 19:00
BobiD

Вложений: 3

КК не помогал и без заплаток (хотя когда svhost что-то делал в невероятных количествах он убивал этот процесс), но для безопасности поставил и проверил снова. Ничего не найденно.
Скрипт выполнил. Файл карантин залил.
Логи:
10.09.2009, 20:18
DefesT

То что в карантин залезло.
C:\WINDOWS\mslsrv32.exe - [B]Backdoor.Win32.SdBot.ouy [/B](KAV)
c:\windows\system32\sys32_nov.exe - [B]Trojan.DownLoad.41506 [/B](DrWeb)
Bonjour можно [URL="http://virusinfo.info/showthread.php?t=27923"]удалить[/URL]
Как самочувствие? В логах больше ничего подозрительного не нашел.
10.09.2009, 21:36
BobiD

Самочувствие намного лучше, спасибо вам большое за помощь. Система стала намного быстрее работать, интернет залетал. Можно ли удалить эти два вируса без KAV (в этом месяце кончилась лецензия) и DrW?
10.09.2009, 22:23
PavelA

Они уже удалены скриптом моего коллеги.
11.09.2009, 22:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\mslsrv32.exe - [B]Backdoor.Win32.SdBot.ouy[/B] ( DrWEB: Trojan.Siggen.4104, BitDefender: Trojan.Generic.2444432, NOD32: IRC/SdBot trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\sys32_nov.exe - [B]Backdoor.Win32.HareBot.qc[/B] ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Downloader.Cutwail.L, AVAST4: Win32:Trojan-gen {Other} )[/LIST][/LIST]