-
Junior Member
- Вес репутации
- 48
Червь AutoRun.IRCBot.HY
Доброго времени суток всем! Пожалуйста, помогите замучал червь AutoRun.IRCBot.HY, нод очищает удалением но каждый раз появляется вновь. Инет перестает работать вскоре, хотя если ранее поставить качать что то, то продолжается скачивание, а в браузере страницы не открываются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
WhatService('lylvjhgs');
QuarantineFile('C:\WINDOWS\system32\31.exe','');
DeleteFile('C:\WINDOWS\system32\31.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
SaveLog(GetAVZDirectory+'lylvjhgs.log');
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 10 или удалите старый.
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл lylvjhgs.log прикрепите к сообщению
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 48
-
- Выполните скрипт в AVZ
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then
begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\reucksw.dll','');
BC_ServiceKill('lylvjhgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lylvjhgs\Parameters','ServiceDll');
QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\GP2RSDIR\logo[1].gif','');
DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\GP2RSDIR\logo[1].gif');
DeleteFileMask('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5', '*.*', true);
DeleteFile('C:\WINDOWS\system32\reucksw.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 48
Сделано! И еще, при загрузке винды очень долго висит "приветствие" на голубом фоне которое, и выскакивает ошибка "Windows Script Host Не удается найти файл сценария «C:\Program Files\Съемный диск\usb.wsf»". В чем может быть проблема? Это появилось после этого поганого червя, который кстати уже почти сутки не беспокоит (после вчерашних манипуляций)
-
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work
Больше ничего плохого не видно.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Bratez Спасибо. Ошибка пропала.
Еще вопрос, для саморазвития... Форматирование только диска С помогло бы с червем этим? )) Вроде слышал что эта зараза живет не только на жестком...
Добавлено через 1 минуту
polword спасибо огромное за исцеление!!!
Последний раз редактировалось Денис161; 02.05.2011 в 17:20.
Причина: Добавлено
-
Сообщение от
Денис161
слышал что эта зараза живет не только на жестком...
Этот червь живет в сети. А ваша система перед ним беззащитна:
Platform: Windows XP
SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Срочно ставьте SP3 и последующие обновления, иначе он придет снова.
Кроме того, он распространяется через autorun на съемных носителях. Надеюсь, хоть базы антивируса у вас обновляются? Тогда этот путь он перекроет.
Добавлено через 52 секунды
После установки SP3 может потребоваться повторная активация Windows.
Добавлено через 1 минуту
О, пардон, в последнем логе уже вижу SP3, ну тогда ладно
Последний раз редактировалось Bratez; 02.05.2011 в 17:30.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-