Суть дела заключается в следующем. Компьютер нашего главного бухгалтера подключен к локальной сети и постоянно находится в интернете. Подключен через ADSL. Пользователем был временно отключен KIS7.0.325, поскольку он препятствовал отправке на банковский сайт электронных форм платежных поручений. Предположительно в период временного отключения KIS7.0.325 в компьютер проникли вирусы. Возможно это прошло при открытии каких-либо интернет-страниц по предложенным ссылкам. Возникшие проблемы: 1. не запускается KIS7.0.325 и другие антивирусные программы (AVZ, CureIt, HiJackThis); 2. не работает защищенный режим WINDOWS. При попытке закгрузки в Safe Mode наблюдаем черный экран с мигающим курсором; 3. не отображаются скрытые файлы и папки; 4. в трее появился красный кружок с крестом и периодически всплывает сообщение "Your computer is infected"; Нами были предприняты следующие действия: 1. отключено восстановление системы; 2. восстановлен режим Safe Mode; 3. восстановлено отображение скрытых файлов и папок; 4. запущены переименованные версии CureIt, HiJackThis (переименован в 345.com), AVZ (переименован в 567.com). Соответствующие логи вложены. CureIt обнаружил: Trojan.Click.5043 , TrojanProxy.1739 , Tool.ASEye.2 После перезагрузки проблемы не исчезли и эти вирусы опять восстанавливаются. Будем весьма Вам признательны за помощь в разрешении этой проблемы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe','');
QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('c:\windows\system32\univrs32.dat','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('c:\windows\system32\univrs32.dat');
DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe');
DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Благодарим Вас за оперативное реагирование на нашу проблему. Скрипт загрузили в AVZ, выполнили его, но увы, все осталось по-прежнему. В списке загруженных процессов снова появился файл BRAVIAX.EXE
Никак эта "липучка" не хочет от нас отстать.
Вы фиксили? Скрипт прогоняли? Карантин закачали?
У меня такое чувство, что все осталось, как было
Системное восстановление у Вас отключено? Если нет - отключите.
Антивирус отключен? Если нет - отключите.
Почистите систему (см. ссылку Очистка ПК в моей подписи).
Повторите Фикс и Скрипт из моего предыдущего сообщения и сделайте новые логи.
Проверили еще раз. Восстановление системы было отключено ранее.
Выполнили рекомендации по очистке компьютера. Фиксили. Новый скрипт тоже выполнили. Высылаем новые логи и карантин.
Обратили внимание на одну особенность - в диспетчере задач braviax.exe иногда выводится маленькими буквами, а иногда большими. Имеет ли это какое-нибудь значение?
При сканировании программой AVZ иногда выводится сообщение Access Violation at address ... При это появляется множество окон с этим сообщением.
Перезагрузка иногда занимает длительное время, 1-2мин. При этом на эране остается только экранная заставка и больше ничего, а потом происходит перезапуск. А иногда перезагрузка выполняется нормально, быстро.
Можно ли исключить из сканирования диск D для ускорения процесса?
P.S. на рабочем столе имеется файл delself.bat
Последний раз редактировалось NICK_WWF; 06.06.2008 в 14:47.
Уважаемые helperы, Вы о нас не забыли? Проблема так пока и не решена, хотя произошли некоторые изменения. Сегодня иногда стал исчезать красный круг с крестом. При этом BRAVIAX.EXE все еще присутствует в списке задач. Причем иногда BRAVIAX.EXE присутствует, а красный круг отсутствует. Иногда наоборот. Иногда оба они присутствуют. Свежие логи прилагаем в прошлом нашем сообщении. К сожалению, очень оперативно отвечать не всегда можем, поскольку компьютер используется бухгалтерией для работы (разумеется, без выхода в интернет).
Выполняем все в точности как Вы пишете. В IceSword выбираем меню File , далее выбираем указанные файлы, в правом поле отмечаем синим цветом три указанных файла, кликаем правой кнопкой мыши, затем "Force Delete" и выбираем "да" на предложение о перезагрузке. Из списка выделенные файлы исчезают, однако перезагрузки не происходит. После принудительной перезагрузки они вновь восстанавливаются. Что же делать?
Выражаем Вам признательность. Есть позитивные тенденции. После выполнения рекомендаций запустился KIS и нашел еще один файл cru625 в папке C/WINDOWS32/
Прикрепляем последние логи. Что нужно будет сделать дальше?
Выполнили скрипт. В HiJack отсутсвовала указанная Вами строка, поэтому фиксить было нечего. Возможно, когда запустился KIS, он удалил все остатки вирусов. Последние логи прикрепляем.
Можем ли мы теперь без опасений работать в интернете?
AVZ не находит beep.sys
Видимо он был удален предыдущими скриптами. Зато случайно нашли в папке C:/WINDOWS/ файл braviax.exe
Может быть удалить его вручную?
Антивирусное ПО работает нормально. Можно ли выходить в интерент и обновлять KIS?
случайно нашли в папке C:/WINDOWS/ файл braviax.exe Может быть удалить его вручную?
поместите его в карантин и пришлите по правилам, потом можете его фтопку
Сообщение от NICK_WWF
Можно ли выходить в интерент и обновлять KIS?
Системное восстановление отключите и очистите ПК от мусора (см. ссылку в моей подписи. Если будете использовать ClearProg - выберите Удалить все (Remove All).
Обновите КИС и сделайте полную проверку системы.
Уважаемый(ая) NICK_WWF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: