Словил заразу

Printable View

11.06.2010, 00:03
Demoniq3000

Словил заразу

Доброго времени суток.
Поймал какую то гадость и не знаю что даже делать =(
1) касперский с новыми базами ни как не отреагировал что меня и удивляет :(
2)ни касперский ни CureIT не скачался(( выдавало ошибку и перенаправляло на страницу с надписью страница не доступна... а после логов вообще не заходит :( файл hosts чистый
11.06.2010, 07:21
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) -
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{4940F700-DB57-486B-86A8-B3ED6FB5C18F}\RP15\A0013659.dll','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\LRPC.tmp','');
QuarantineFile('C:\windows\System32\winlogon.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
11.06.2010, 13:34
Demoniq3000

Вложений: 2

вот всё что просили
Файл сохранен как 100611_132720_virus_4c120178bfd06.zip

Размер файла 337692

MD5 869b31d83bd2eef095c72780f0cff767
11.06.2010, 13:49
Demoniq3000

И у меня есть еще парочка вопросов:
1)после неудачной установки win7 у меня осталась загрузочная информация о ОС и вопрос как её удалить чтобы сразу загружалась ХР и ненужно было выбирать между ОСями?
2)При установки вин7 почему то выдавалась ошибка что файл повреждён или что то не хватает... хотя у многих она устанавливалась отлично без таких ошибок
3) у меня есть образ файла SP3 но как его устанавливать я не знаю, подскажите?)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

И еще вопрос где можно научится самому лечить компьютер от зловредов?
11.06.2010, 13:52
polword

1.Замените файл C:\windows\System32\winlogon.exe на чистый из дистрибутива.
Как заменить файл можно посмотреть [URL="http://virusinfo.info/showthread.php?t=51654"]тут[/URL]

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\System Volume Information\_restore{4940F700-DB57-486B-86A8-B3ED6FB5C18F}\RP15\A0013659.dll');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\LRPC.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
11.06.2010, 14:14
Demoniq3000

1.Замените файл C:\windows\System32\winlogon.exe на чистый из дистрибутива.
Как заменить файл можно посмотреть тут

т.е нужен загрузочный LiveCD и как там дальше я не понял...обьясните пожалуйста я просто не понял )

вот еще заметил некоторые проблемы при запуске daemon tools выдает сообщение: отладчик ядра должен быть деактивирован!
skype зам закрывается через некоторое время(примерно 1 или 2 минуты) и в диспечере остается процесс skypePM.exe
что делать?:(
12.06.2010, 14:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]