Порно-блокер - последствия

Printable View

28.06.2010, 14:03
Tommy-gun

Порно-блокер - последствия

Поймал порно-блокер. DrWeb Cure It вроде бы вылечил, однако хочется проверить систему на предмет последствий.
28.06.2010, 14:08
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('\\?\globalroot\systemroot\system32\MdtWejQ.exe','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('\\?\globalroot\systemroot\system32\MdtWejQ.exe');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
QuarantineFile('Acpnssmste.sys','');
DeleteService('Acpnssmste');
DeleteFile('Acpnssmste.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('Acpnssmste.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
28.06.2010, 14:42
Tommy-gun

Спасибо. Карантин отправил, логи прикрепил.
28.06.2010, 15:05
polword

Remote Administrator - ставили сами?

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
28.06.2010, 18:08
Tommy-gun

[QUOTE=polword;661911]Remote Administrator - ставили сами?[/QUOTE]Это комп моего коллеги. Он говорит, что ничего не ставил.

Лог прицепил.
28.06.2010, 18:56
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('r_server');
DeleteFile('C:\WINDOWS\system32\r_server.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('r_server');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
28.06.2010, 20:42
Tommy-gun

Готово.
29.06.2010, 07:57
polword

В логе чисто.

- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
30.06.2010, 07:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\?\globalroot\systemroot\system32\mdtwejq.exe - [B]Packed.Win32.Katusha.o[/B] ( BitDefender: Rootkit.37801, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]