Флэш вирус

Printable View

20.09.2010, 21:19
Gett

Флэш вирус

С флешки подхватил заразу - компьютер глючит в играх, нет диспетчера задач, нет редактора реестра, в общем стандартный набор...
Извиняюсь что лога HiJackThis приложить не могу - ваш сайт вирус заблокировал, переименованный файл я не знаю где качать, а обычные оперативно выпиливаются ещё до загрузки
20.09.2010, 21:25
Никита Соловьев

[B]Выполните скрипт в AVZ:[/B]
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\qkhhqn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\qkhhqn.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\qkhhqn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

[URL=http://virusinfo.info/showpost.php?p=648638&postcount=5]Пролечитесь так...[/URL]

Сделайте новые логи
21.09.2010, 00:09
Gett

вы извините, я FAQ смотреть не могу, по этому в качестве карантина отправил архив, полученный в результате выполнения скрипта "Скрипт сбора подозрительных и неопознанных файлов" 10+ мб.

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

я не могу читать свои и чужие сообщения в этой теме, только самое первое. могу только отправлять. Сейчас с телефона заходил - вы там мне скрипт длинный прислали, плюс ссылка. Можете пожалуйста дублировать сообщения мне в личку? Её я читать могу. Спасибо.
И ещё, реально как-то снять глюки и ограничения с браузера, чтобы можно было нормально с вашим форумом работать?
21.09.2010, 18:18
Никита Соловьев

Работайте пока что с другого компьютера
23.09.2010, 14:49
Gett

LiveCD нашёл, записал, просканировал компьютер - список большой получился, что дальше надо было делать? у меня один из домашних просто компьютер выключил, это значит всё насмарку было?
нужно было ещё часок посидеть, галочками поотмечать что удалять а что нет?
23.09.2010, 15:21
Никита Соловьев

Увы, всё осталось на месте. Попробуйте такой способ: [url]http://support.kaspersky.ru/viruses/solutions?qid=208636131[/url]

после того, как утилита отработает сделайте новые логи
23.09.2010, 17:30
Gett

ссылка блокирована вирусом, откуда можно переименованный файл скачать?
23.09.2010, 17:32
Никита Соловьев

[QUOTE]скачайте файл [B][I]SalityKiller.zip[/I][/B]
распакуйте файл [B]SalityKiller.zip[/B], используя программу-архиватор (например, WinZip)
запустите файл [B]SalityKiller.exe[/B]
после лечения может потребоваться перезагрузка.[/QUOTE]

Файл во вложении
23.09.2010, 21:12
Gett

Диспетчер задач снова в деле, но форум так нормально и не заработал
23.09.2010, 22:23
Никита Соловьев

[B]- Выполните скрипт в AVZ:[/B]
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe','');
QuarantineFile('C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE','');
DeleteService('abp470n5');
QuarantineFile('C:\Program Files\NetMeeting\comp.exe','');
DeleteService('RPCER');
DeleteFile('C:\Program Files\NetMeeting\comp.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\qkhhqn.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Сделайте новые логи
24.09.2010, 00:19
Gett

форум заработал :)
24.09.2010, 00:23
Никита Соловьев

Выполните процедуру, описанную [url=http://virusinfo.info/showthread.php?t=3519]здесь[/url]

В логах чисто.
24.09.2010, 00:38
Gett

спасибо! скажите теперь, как больше не заражаться подобной гадостью, как вообще работать с флэшками?
24.09.2010, 00:40
Никита Соловьев

[QUOTE='Gett;711437']как вообще работать с флэшками?[/QUOTE]аккуратно
24.09.2010, 00:42
Gett

я с последней аккуратно работал - через Древо в неё залез, а все равно каким-то образом вирус запустил. и авторан с флэшек вроде запрещал...
24.09.2010, 00:43
Никита Соловьев

[QUOTE='Gett;711439']и авторан с флэшек вроде запрещал...[/QUOTE]Ну, теперь он точно запрещён. А вообще флешки лучше открывать альтернативным файловым менеджером
24.09.2010, 00:45
Gett

окей, поставлю какой нибудь Командер. а форматировать их можно как-то не глядя что там? стерилизировать так сказать, даже без просмотра содержимого
24.09.2010, 00:47
Никита Соловьев

[QUOTE='Gett;711441']окей, поставлю какой нибудь Командер. а форматировать их можно как-то не глядя что там? стерилизировать так сказать, даже без просмотра содержимого [/QUOTE]Можно конечно, если содержимое флешки Вам не нужно...
24.09.2010, 00:50
Gett

конечно. нет таких программ? ничего не посоветуете? кроме Прямые руки 1.2
24.09.2010, 00:51
Никита Соловьев

Это можно сделать средствами Windows. Правый клик мышью - форматировать
24.09.2010, 00:56
Gett

ну ладно, я просто боюсь что только в мой компьютер залезешь - а эта фигня уже везде)
а с блокировкой форума как быть? это неотъемлемая часть вируса, и разблокировать "лечебные" ресурсы можно только полным излечением вируса?
а то нормально с ним (форумом итп) работать можно только на конечной стадии, а до этого - мучайся с телефонами, эксплорерами и прочим
24.09.2010, 01:01
Никита Соловьев

[QUOTE='Gett;711446']а с блокировкой форума как быть? это неотъемлемая часть вируса, и разблокировать "лечебные" ресурсы можно только полным излечением вируса?[/QUOTE]Насколько я знаю, наш форум салити не блокирует. Это дело рук другой троянской программы.

Увы, да
25.09.2010, 01:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\local settings\\application data\\google\\chrome\\application\\chrome.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[*] c:\\program files\\ask.com\\updatetask.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\common files\\lightscribe\\lsrunonce.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\common files\\microsoft shared\\dw\\dw20.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\messenger\\msmsgs.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[*] c:\\program files\\mozilla firefox\\firefox.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\program files\\nero\\nero 9\\nero startsmart\\nerostartsmart.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[*] c:\\program files\\netmeeting\\comp.exe - [B]Trojan-Downloader.Win32.Adload.hke[/B] ( BitDefender: Gen:Trojan.Heur.@Z2ar9fpk7ojy, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\\program files\\opera\\opera.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[*] c:\\progra~1\\common~1\\micros~1\\dw\\dw20.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Kukacka )[/LIST][/LIST]