Printable View
Подхватил такую заразу, ставил винт на другую машину, DRWEB не нашел ничего, Virus Removal Tool че-то нашел-удалил, машина запускается, могу сделать лог HijackThis, после работы HijackThis комп зависает наглухо, AVZ не запускается никак даже полиморф, пофиксил некоторые непонятные строки, могу запустить СUREIT но он то-же ниче не находит, подскажите дальнейшие действия
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
Попробуйте профиксить. м.б. полегчает.
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE]
[QUOTE=snifer67;546095]1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [URL]http://support.kaspersky.ru/viruses/avptool2010?level=2[/URL], ссылка для загрузки: [URL]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL] );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [URL]http://virusinfo.info/showthread.php?t=15927[/URL] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.[/QUOTE]
Все сделал, дохлый номер, DRWEB ничего не нашел, AVP одну уязвимость и все
Выполните то, что советует [B]PavelA[/B]
[QUOTE=PavelA;546129]Попробуйте профиксить. м.б. полегчает.
[CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/CODE][/QUOTE]
Профиксил, баннер на месте, теперь при попытке записать лог компьютер уходит в перезагрузку
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Создал другую учетку, зашел, то-же самое уходит в перезагрузку
[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]
Зашел под учеткой Администратор в безопасном режиме, отсканировал свежескаченным CUREIT, нашел 1 вирус winlock.569, удалил, перезагрузил, баннер на месте, что делать дальше?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 35 минут[/I][/B][/color][/size]
Причина кроется в одном из файлов каталога system32, я пошел уже на крайние меры взял с рабочей машины и скопировал все dll находящиеся в каталоге, перед этим на зараженной машине все удалил, перезагрузил баннер исчез, вернул dll на место опять таблица, как найти этот dll?
Просканируйте ПК [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
[QUOTE=snifer67;546506]Просканируйте ПК [URL]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/URL][/QUOTE]
Сканировал, ничего не находит
Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез, посмотрите лог что нужно пофиксить, ссылка то осталась
Лог пустой.
Запустить файл из вложения. drv.sys прислать.
+ к [B]Павлу[/B]
Логи сделать полностью. AVZ теперь должен запуститься
[QUOTE=PavelA;546637]Лог пустой.
Запустить файл из вложения. drv.sys прислать.[/QUOTE]
После запуска приложения комп ушел в перезагрузку
[QUOTE=thyrex;546640]+ к [B]Павлу[/B]
Логи сделать полностью. AVZ теперь должен запуститься[/QUOTE]
Вот логи, есть еще интересный ньюанс по которому можно вычислить вирус, если вставить флешку в зараженный комп, то вирус пишет на нее autorun.inf и в корзину на флешке помещает dll, а дальше по размеру можно вычислить этот файл
Пофиксить в HijackThis
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
[/code]
ПК перезагрузите.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\llbgpa.dll','');
DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
QuarantineFile('G:\sDYQfX.EXe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\SdyqFX.exE','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
TerminateProcessByName('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('G:\SdyqFX.exE');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\sDYQfX.EXe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы avz,
Сделайте новые логи.
[QUOTE='snifer67;546748']Сделайте новые логи. [/QUOTE]
Новые логи
[QUOTE='savir72;546629']Кажнтся нашел зараженные файлы методом интересным, вирус при работе в паку WINDOWS\TEMP\ копирует dll, я посмотрел размер и дату создания и удалил такие точно файлы из system32 только имена у них другие, баннер исчез[/QUOTE]
Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials
[quote]Нужно ли прислать файлы которые я удалил из системы, они у меня остались ни один из антивирусников на них не реагигурет, проверял DRWEB,KAV,Microsoft Security Essentials[/quote]
Пришлите...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Пофиксить в HijackThis
[code]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
[/code]
ПК перезагрузите.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\llbgpa.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(17);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи.
[QUOTE='snifer67;546883']Сделайте новые логи. [/QUOTE]
Новые логи
Поставил DRweb, не запускается агент, где-то еще нужно поправить, подскажите
сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]