-
Junior Member
- Вес репутации
- 59
Побежден ли вирус?
Здравствуйте!
Ноут SAMSUNG R55S Intel core2 CPU T5600 @1.83Ghz,1.0GB RUM, NVIDIA GeFors Go7600(автозапуски отключены) ОС Microsoft Windows XP Home Edition 5.1.2600 Service Pack 3 Сборка 2600 браузер IE8.1 раздел С на жд.
был заражен через флешку вирусом AutoRun FakeAlet.AF.
К сожалению, штатный NAV2005(с обновлёнными базами) заразу не увидел.Как и AVZ 4 с обновлёнными базами,запущенный после заражения…
Вирус на флешке был обнаружен другим компом со штатным NOD32 v.2.7.32(свежими базами).
После этого NAV2005 на R55S был заменен на NOD32 v.2.7.32 ,который и уничтожил вирус при сканировании в защищенном режиме и отключенном восстановлении системы.
Последствия вирусной атаки-пропал «рабочий стол»,загрузка в защищенном режиме.Ноут управлялся через «диспетчер задач»
Переустановка того-же SP3 с CD диска ни к чему не привела.
Утилитой AVZ4, произведено лечение(файл-восстановление системы-пункты 5,9,16)
Появился рабочий стол и загрузка в защищенном режиме. NOD32 v.2.7.32 при «углубленном сканировании» в защищенном режиме нашел и удалил еще пару «Троянов».К сожалению,сканировал ночью,названия не записал…
Затем,вместо . NOD32 v.2.7.32 был установлен NOD 3.0.669.0 , который нашел и удалил заразу в загрузочном секторе диска
Последним аккордом в «пляске с бубном» стала борьба с появляющимся при закрытии IE8 предупреждении-
«инструкция по адресу 0x04f9bc2 обратилась к памяти по адресу 0x044c550 память не может быть «read»»До заражения,этого не было.
Закрывалось только перезагрузкой ноута.Вылечено переустановкой IE8 ,поверх такого же, установленного IE8.
NOD 3.0.669.0 при неоднократном сканировании ничего не находит.Все флешки отформатированы и проверены.
Хотелось бы спросить Уважаемое Сообщество-все ли шаги по борьбе с вирусом были правильными и окончательно ли он побежден ?
Тем более ,что AVZ4 ,как всегда,что-то подозревает…
Файлы прилагаю.
С уважением,Сергей.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Intuwave\Shared\mRouterRuntime\m-Router.chm','');
QuarantineFile('C:\из раб ст\e qsl\dx4w\crV502.exe','');
QuarantineFile('C:\WINDOWS\system32\nvwddi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mspaint.exe','');
QuarantineFile('C:\WINDOWS\system32\calc.exe','');
QuarantineFile('C:\WINDOWS\system32\OpcEnum.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Закачайте полученный карантин по ссылке вверху страницы.
Повторите логи
Последний раз редактировалось vegas; 26.09.2009 в 21:52.
-
-
+ к vegas
Пофиксить в HiJack (некоторых строчек может не быть)
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x І
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
vegas
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Intuwave\Shared\mRouterRuntime\m-Router.chm','');
QuarantineFile('C:\из раб ст\e qsl\dx4w\crV502.exe','');
QuarantineFile('C:\WINDOWS\system32\nvwddi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mspaint.exe','');
QuarantineFile('C:\WINDOWS\system32\calc.exe','');
QuarantineFile('C:\WINDOWS\system32\OpcEnum.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Закачайте полученный карантин по ссылке вверху страницы.
Повторите логи
Спасибо!Выполнено.
После выполнения скрипта табл. окончания работы win изменилась на стандартную XP HOUME
-
Junior Member
- Вес репутации
- 59
Извините,похоже перепутал вкладываемые файлы...
Еще раз
-
Ждем ответ лаборатории по присланным вами файлам. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
+ к
vegas
Пофиксить в HiJack (некоторых строчек может не быть)
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x І
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Спасибо!Выполнено
-
Junior Member
- Вес репутации
- 59
Сообщение от
vegas
Ждем ответ лаборатории по присланным вами файлам. Что с проблемами?
Второй день нет
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
vegas
Файлы в карантине чистые
Спасибо за помощь!
Надеюсь,все будет в порядке.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-