Показано с 1 по 18 из 18.

Не удается вылечить Win32.Sector.4 (заявка № 18165)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59

    Question Не удается вылечить Win32.Sector.4

    Некоторое время назад Симантек детектировал вирус. Спросил, удалять ли его, на что я ответил согласием. Такое сообщение появлялось еще несколько раз, после чего я решил взяться за вирус всерьез. Скачал AVZ и запустил его...
    После нескольких неудачных попыток скачал и CureIt. Тот обнаружил 1500 зараженных Win32.Sector.4 файлов, среди которых очень много ехе-шников и с десяток троянов различного рода. Что-то вылечил, что-то посносил... После выхода в инет зараза появилась снова, отключила сейфмод и начала творить черти что. Восстановились и трояны. Те же и там же.
    В муках уже третий день, снести никак не получается. Сижу, пишу это сообщение, а CureIt нашел уже 1900 зараженных файлов. Последняя проверка была несколько часов назад...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\18998b.exe','');
     QuarantineFile('C:\PROGRA~1\INTERN~1\_index23.exe','');
     QuarantineFile('C:\PROGRA~1\INTERN~1\_index02.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\basemgldn32.dll','');
     QuarantineFile('C:\DOCUME~1\zs\LOCALS~1\Temp\Redist64\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\wjlm.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\wjlm.exe');
     DeleteFile('C:\DOCUME~1\zs\LOCALS~1\Temp\Redist64\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\PROGRA~1\INTERN~1\_index02.exe');
     DeleteFile('C:\PROGRA~1\INTERN~1\_index23.exe');
     DeleteFile('C:\WINDOWS\system32\18998b.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните второй скрипт:
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18165).
    Обновите базы AVZ и сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Сделано.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В принципе все в порядке, признаков файлового вируса (Sector) не видно.

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O9 - Extra button: Качалка - {C7849820-7A7E-11d3-8AEB-00608CB35B18} - C:\Disco Pump\dp_ie5.dll (file missing)
    O9 - Extra 'Tools' menuitem: ДИСКо Качалка - {C7849820-7A7E-11d3-8AEB-00608CB35B18} - C:\Disco Pump\dp_ie5.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\zs\Local Settings\Temp\Winit64\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\153523.exe');
     DeleteFile('C:\WINDOWS\system32\1536c9.exe');
     DeleteFile('C:\WINDOWS\system32\187421.exe');
     DeleteFile('C:\WINDOWS\system32\433293.exe');
     DeleteFile('C:\WINDOWS\system32\5a2a17.exe');
     DeleteFile('C:\WINDOWS\system32\6f838b.exe');
     DeleteFile('C:\WINDOWS\system32\847e75.exe');
     DeleteFile('C:\WINDOWS\system32\997249.exe');
     DeleteFile('C:\WINDOWS\system32\ae832b.exe');
     DeleteFile('C:\WINDOWS\system32\c37e05.exe');
     DeleteFile('C:\WINDOWS\system32\d87832.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    После процедур тот же диагноз. Куча зараженных ехе-шников...

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Попробуйте так
    http://virusinfo.info/showthread.php?t=15927
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Вылечил!
    Спасибо большое!
    Вот только как бы теперь вернуть сейфмод и обновление антивиря? Делал все, как написано на z-oleg.com в соответствующих статьях, но не помогло.

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Приймите пилюлю №10 и 13

    Добавлено через 1 минуту

    Или этот скрипт
    Код:
    begin
     ExecuteRepair(1);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(10);
     ExecuteRepair(13);
     RebootWindows(true);
    end.
    Последний раз редактировалось akoK; 18.02.2008 в 00:47. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Safemod и апдейт антивируса заработали.
    Включил Восстановление системы обратно.
    На сон грядущий решил еще раз провериться.
    Загрузился в безопасном режиме и запустил свежий Симантек.
    Нашлось 29 зараженных файлов + 2 трояна.
    Как я понимаю, это либо недолеченность, либо включенное восстановление системы, либо выход в инет, в момент которого дрянь забралась снова.
    Логи прилагаю. Сделаны после чистки антивирем и под сейфмодом.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Включение восстановления системы само по себе не может привести в появлению заразы. Другое дело, что в этот момент имеющаяся в системе зараза может быть туда немедленно скопирована, а в дальнейшем - оттуда восстановлена.

    После лечения активного заражения по логам всегда остается вероятность, что где-то еще есть вредоносные файлы (просто так себе лежат и никого не трогают ), так что в принципе ничего удивительного.

    Сейчас в логах ничего подозрительного не видно.
    Восстановление системы выключите, чтобы очистить имеющиеся точки, затем включите обратно (если оно вам в принципе нужно).
    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Службы останавливал из-под AVZ. Это правильно? Как я понимаю, службы снова запустятся после перезагрузки?
    Последние две строчки ("Безопасность") поставили в тупик. Как запретить эти вещи?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все перечисленное можно отключить таким скриптом:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Спасибо, отключил.
    Но сегодня с утра опять упал апдейт антивиря. Дело в Симантеке или любой другой тоже перестанет обновляться?

    ЗЫ: подозреваю, что дело в кривых руках.
    Последний раз редактировалось Quetzalcoatl; 19.02.2008 в 00:44.

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    ЗЫ: подозреваю, что дело в кривых руках.
    Все может быть дайте лог virusinfo_syscheck посмотрим
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Done.
    Вложения Вложения

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    По логу все ОК.

    Добавлено через 1 минуту

    Напомните, планировщик для симантека обязателен
    Последний раз редактировалось akoK; 19.02.2008 в 01:16. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    16.02.2008
    Сообщений
    9
    Вес репутации
    59
    Не понял, о чем речь. Там есть некий "Плановый осмотр"... Он не настроен совершенно.

    ЗЫ: Сейчас Update - работает, auto-protect - нет.
    Непонятно, в чем дело - то ли симантек вещь в себе и делает, что хочет, то ли он уже себя не контролирует.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 17
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Quetzalcoatl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не удается вылечить Win32/Spy.Shiz.NEC
      От MaximM в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.05.2012, 21:37
    2. Не удается вылечить Win32/CoinMiner
      От SvcHost в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 23.09.2011, 19:57
    3. Не удается удалить Win32.Sector.16
      От GoodBear в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 12.02.2011, 20:06
    4. Не удается удается удалить вирус Net-Worm.Win32.Kolab.fhi (заявка №1009)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 10.02.2010, 18:01
    5. Не удается вылечить систему
      От maratfx в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 02.07.2007, 02:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 20 queries