То, что заразился sector.5 знал сразу - об этом едва успел пикнуть сразу же убитый Dr. Web, но не знал что за зверь. Попытки запустить любое антивирусное ПО (в том числе попытки поиска через браузер - его тоже прибивало) не увенчались успехом.
Сейф-мод восстановлен скриптом для свежескаченного AVZ.
CureIt запущенный с диска read-only под сейф-мод обнаруживает (и по его же словам обезвреживает) Sector.7 и Sector.5. Однако, при повторном скане (как быстром так и полном) через несколько секунд картина повторяется (2 файла заражены Sector.5)
Зараженный процесс пытается записать на read-only диск (о чем свидетельствует постоянно возникающая ошибка). Если процесс прибить - заражается следующий.
P.S. Получилось установить K.I.S 8.0 - но при активном "вредоносном" процессе его убивает.
Последний раз редактировалось Sensor; 08.07.2008 в 01:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Live-CD попробую. Пробовал лечить подрубая винт к здоровой машине обновленным CurIT и K.I.S. 8.0 - не помогло. Пока работаю с распакованным на рид-онли флешку CurIT.
То есть, полное сканирование из-под чистой системы вы делали, и зверь по-прежнему жив? В таком случае сканирование под заражённой системой смысла не имеет, зверь очень быстро размножается. Надо искать недетектируемые остатки из чистой системы или с Live CD.
Да, сканирование и лечение со здоровой системы (в 1-ом случае CureIt, во 2-ом обновленный K.I.S 8.0) проводилось. Вирь находился и прибивался. Загрузка с "больного" винта давала старые грабли.
Возможно ли по логам AVZ & HijackThis определить откуда у зверя ноги растут?
Полное - проведенное самолично. Винчестер один, разделы все (не считая того на котором BeOS, думаю это погоды не сделает). После загрузки с исцеляемого винта картина не изменилась - полный висяк, запускаю таск менеджер, прибиваю эксплорер, запускается поиск драйверов к новому устройству (ничего нового не устанавливалось), запускаю эксплорер - загрузку можно считать завершенной. Запускаю Curit - в процессах Sector.7 и один-два файла заражены sector.5
Ситуация у Вас такая. Вообще логи не предназначены для обнаружения зараженных файлов, но в них видны важные системные файлы, которые не прошли по базе безопасных. Мы их возьмем на проверку, как и некоторые другие файлы. Кроме того, в логах видны некоторые зловреды, не исключено, что один из них дропает файловый вирус. Мы их удалим скриптом AVZ. При лечении Вы упустили очень важный момент. Нужно обязательно отключить восстановление системы, как написано в правилах!
Отключите его.
Затем выполните скрипт в AVZ:
Ответ по Вашему карантину пока не пришел. Вот этот файл C:\WINDOWS\Fantastic Flame Screensaver.scr один антивирус подозревает. Вы можете пока убрать его из автозагрузки, добавив в нижеследующий скрипт команду SysCleanAddFile('C:\WINDOWS\FANTAS~1.SCR'); перед уже имеющейся там командой ExecuteSysClean;
Возьмите зараженный жесткий диск и на чистом компьютере пролечите его сначала свежим CureIt! (сегодня в его базы попала новая модификация этого вируса), а потом обновленным K.I.S 8.0. Теперь, когда восстановление системы отключено, шансы победить зловреда выше.
Система проверена на здоровой машине с помощью обновленного CureIT. Был обнаружен Sector.5 и по словам утилиты исцелен. При загрузке с винта эффект тот же. В процессах Sector.7, который якобы обезвреживается. Куда же он прячется, этот Setcor.7 при скане с другой машины? Возможно ли вообще исцелиться?
Файлы, якобы излеченные на здоровой системе (в частности переименованный AVZ) опять заражены.
Последний раз редактировалось Sensor; 11.07.2008 в 02:19.
Убедитесь, что
1) зараженный компьютер не подключен к локальной сети.
2) CureIt! и другие антивирусы, которыми лечите, не заражены.
А на больном компе есть кроме жесткого диска, который Вы лечите, еще какой-нибудь жесткий диск? Надо пролечить все.
В общем на здоровой машине я бы пролечил сначала свежим CureIt!, потом сразу обновленным KIS, а потом еще каким-нибудь антивирусом (BitDefender например).
Последний раз редактировалось kps; 11.07.2008 в 03:09.
Сеть была отключена. CureIt на проверяющей машине не заражен. Жесткий диск единсвтенный.
Просканил еще раз в сейф-мод с помощью CurIt - ничего не обнаружил. При перезагрузке в нормальном режиме старая песня. Кьюрит находит Sector.7 и якобы обезвреживает. Сканю обновленным K.I.S. 8.0 - ничего не находит. Если зараженный (и якобы обезвреженный) процесс прибить - то моментально убивается и K.I.S.
Последний раз редактировалось Sensor; 11.07.2008 в 19:41.
Такое впечатление что CureIt в safemode его не лечит.
Восстановление системы и сеть отключены.
При обычной загрузке вылетает "Поиск драйверов для нового устройства", хотя ничего не устонавливалось. Daemon Tools при загрузке ругается на то, что активирован кернел дебагер.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: