Тяжкий рецидив

Printable View

14.08.2010, 06:14
Anton Diaz

Тяжкий рецидив

Начинают повторятся симптомы из предыдущего заражения:
[URL="http://virusinfo.info/showthread.php?t=83027"]Блокиованы сайты, ломаются браузеры и другое[/URL]

Вот только добавилась одна проблема: не могу воспользоваться AVZ. Процесс висит в диспетчере пару секунд, после чего падает. Иногда на долю секунды успевает показаться интерфейс программы. Много раз во всякий рандом переименовывал - не помогает. Даже папку переименовывал так, чтобы весь путь к файлу не содержал ничего похожего на AVZ - результат тот же. Безопасный режим тоже не спасает.

Выгуглил, что есть некий "полиморфный AVZ", но качать не стал, так как на официальном сайте ничего такого не нашел.

Почти с полной уверенностью могу указать на сайт, откуда пришла зараза. Только здесь постить не стану - обязательно какой-нибудь прохожий возьмает, да и откроет.

История болезни:
Между этим заражением и предыдущим (тот, про который в ссылке) было еще одно. Тогда я просто повторил инструкции и всё прошло. Также я тогда заметил, что перед симптомами дважды из кеша Оперы (судя по имени файла) пытался открыться странный файл чрез WinAMP. Музыки, конечно, никакой там не было. Через несколько дней снова повторилось открытие файла: почистил кеш и второго открытия не произошло, симптомов не появилось, ничего делать не стал. При текущем заражении никаких файлов из кеша не открывалось.

ИТОГ: логи выслать не могу. Что делать?
14.08.2010, 07:52
Aleksandra

[QUOTE=Anton Diaz;687815]ИТОГ: логи выслать не могу. Что делать?[/QUOTE]
Попробуйте сделать лог AVPTool [url]http://support.kaspersky.ru/faq/?qid=208637132[/url]

[QUOTE=Anton Diaz;687815]Почти с полной уверенностью могу указать на сайт, откуда пришла зараза.[/QUOTE]
Скиньте в личку...
14.08.2010, 20:38
Anton Diaz

[QUOTE=Aleksandra;687821]Попробуйте сделать лог AVPTool [url]http://support.kaspersky.ru/faq/?qid=208637132[/url][/QUOTE]
Прикрепил
14.08.2010, 20:49
thyrex

[QUOTE='Anton Diaz;687815']Выгуглил, что есть некий "полиморфный AVZ", но качать не стал, так как на официальном сайте ничего такого не нашел.[/QUOTE]Качайте (ссылка в моей подписи), он справится

Выполните скрипт в [B]полиморфном[/B] AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\yerddj.exe','');
QuarantineFile('C:\WINDOWS\system32\ba6e4965.exe','');
QuarantineFile('C:\WINDOWS\system32\996078d8.exe','');
DeleteFile('C:\WINDOWS\system32\996078d8.exe');
DeleteFile('C:\WINDOWS\system32\ba6e4965.exe');
DeleteFile('C:\WINDOWS\system32\yerddj.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи полиморфным AVZ

Скачайте [url="http://images.malwareremoval.com/random/ru/RSIT.exe"]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
14.08.2010, 22:00
Anton Diaz

[QUOTE='thyrex;688130']Качайте (ссылка в моей подписи), он справится[/QUOTE]
Скачал (mink.pif). Происходит то же самое, что и с обычным AVZ. Переименовывание тоже не помогает. :(
14.08.2010, 22:13
thyrex

Выполните предложенный скрипт в AVP Tool

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url].

html-лог работы утилиты заархивируйте и прикрепите к своему сообщению
14.08.2010, 23:51
Anton Diaz

Скрипт выполнил, но карантин от AVPTool отправить не могу (при попытке запаковать пишет, что отказано в доступе).

RSIT-логи приложил.

OSAM-лог тоже приложил, но не уверен, что правильный (не совсем тривиальная в использовании программа)
15.08.2010, 10:50
thyrex

[QUOTE='Anton Diaz;688216']OSAM-лог тоже приложил, но не уверен, что правильный [/QUOTE]Лог правильный.

Где новые логи AVP Tool? Что сейчас с проблемой?
15.08.2010, 23:06
Anton Diaz

[QUOTE='thyrex;688306']Где новые логи AVP Tool?[/QUOTE]
Ах да, прикрепляю.

[QUOTE='thyrex;688306']Что сейчас с проблемой?[/QUOTE]
Некоторые сайты по-прежнему не открываются. В остальном всё в порядке.
15.08.2010, 23:16
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:

[CODE]begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'net_cure');
ExecuteFile('route.exe', '-f', 0, 0, false);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Сделайте полный комплект логов по [URL="http://virusinfo.info/pravila.html"]правилам.[/URL]
16.08.2010, 01:10
Anton Diaz

Логи:
16.08.2010, 02:36
Aleksandra

Ничего плохого в логах не увидела.
16.08.2010, 15:47
Anton Diaz

Ок, значит излечено. Спасибо.
Симптомы не наблюдаются.