Показано с 1 по 14 из 14.

Агрессивный вирус (заявка № 27373)

  1. #1
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35

    Exclamation Агрессивный вирус

    Подцепил инфекцию. Симптомы

    Заблокирован редактор реестра
    Заблокирован диспетчер задач
    При перезагрузке в безпасный режим система либо уходит в синий экран либо компьютер перезагружается
    Невозможно запустить CureIT, Avast и так далее.
    Невозможно зайти на сайт kaspersky.ru

    Система с нуля.
    Проверил CureIt и установил демо Dr.Web.
    Пытался установить драйвера видеокарты, видимо в этом файле тоже сидит зараза.
    После установки видео, DrWeb вылетел из системы даже не пикнув.

    Также не съемном диске обнаружил два скрытых файла
    Autorun.inf
    ---------------------------
    [AutoRun]

    ;kgxq JCRkpDfYVDJsqfslhLKnngr
    SHelL\oPeN\defaulT=1
    ;
    OpeN=ipgwt.exe
    ;TUrekX rEymtycQwIBDXr MPkxsv
    sHelL\EXplOre\CommaNd=ipgwt.exe
    ;KBfcuLiBOvONhralRoHudEdohBsaeakqpQpHlkNngHduV SyufBKkY
    sHeLl\oPEn\cOMmanD=ipgwt.exe
    ;pwwpiYPkEpKdryPlCfw
    SHell\AutoPlAY\coMMAnD =ipgwt.exe
    ---------------------------

    Ну и собственно ipgwt.exe
    Что это такое в инете не нашел вообще.

    Прошу вашей помощи! Работа стала!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Отключите восстановление системы!

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\ipgwt.exe','');
     QuarantineFile('F:\autorun.inf','');
     DeleteService('asc3360pr');
     QuarantineFile('C:\WINDOWS\system32\drivers\jkpion.sys','');
     QuarantineFile('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe','');
     TerminateProcessByName('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe');
     DeleteFile('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\jkpion.sys');
     DeleteFile('F:\autorun.inf');
     DeleteFile('F:\ipgwt.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('asc3360pr');    
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);    
    ExecuteRepair(11);
    ExecuteRepair(17);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    Выслал карантин.

    Добавлено через 13 минут

    Я с Украины, Краматорск.
    Только, что позвонил друг из компании обслуживающей компьютеры.
    У него несколько случаев аналогичных моему.
    Суд по всему у нас эпидемия
    Последний раз редактировалось 3fir; 01.08.2008 в 12:28. Причина: Добавлено

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Логи повторите...

  6. #5
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    Сделал логи еще раз
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Очистите временные файлы,кеш браузера...

    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\jkpion.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\jkpion.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6 );
    ExecuteRepair(9 );
    ExecuteRepair(11 );
    ExecuteRepair(17 );    
    RebootWindows(true);
    end.
    Повторите логи...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Аккуратно выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
    Похоже, у Вас файловый вирус. О результатах сообщите.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    В системе нет файла jkpion.sys

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Это, должно быть, драйвер файлового вируса, на диске его нет... Совет выше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от kps Посмотреть сообщение
    Аккуратно выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
    Похоже, у Вас файловый вирус. О результатах сообщите.
    Выполнить не получается.
    Как я уже писал выше, компьютер не может запуститься в безопасном режиме. Либо синий экран, либо перезагрузка.

    Запустить в обычном режиме с диска также не получается.
    Доходит до окна "Выполнить проверку сейчас", сразу появляется окно "Попробуйте бесплатно полную версию" и всё....

    Добавлено через 5 минут

    Может быть стоит переустановить винду и прогнать еще раз все диски?

    Добавлено через 12 минут

    По моему вот этот запрос http://virusinfo.info/showthread.php?t=27383
    Очень сильно по симптомам напоминает мои проблемы.
    Последний раз редактировалось 3fir; 01.08.2008 в 14:42. Причина: Добавлено

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Пункт 2 оттуда же пробовали?
    Есть ещё вариант - при наличии машины с KAV/KIS можно сделать спасательный диск, загрузиться с него и просканировать систему.

  13. #12
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    6
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    Пункт 2 оттуда же пробовали?
    Есть ещё вариант - при наличии машины с KAV/KIS можно сделать спасательный диск, загрузиться с него и просканировать систему.

    К сожалению второй компьютер - ноут.
    К нему винты никак не присобачить быстро.

    Уже переустановил винду. Сейчас буду прогонять систему всеми известными мне антивирусами по очереди.

    Добавлено через 6 часов 5 минут

    В общем определил я, что это за хрень
    win32.sector.XXX

    По всем симптомам он и есть.
    Оптимальный вариант лечения снимать винт и проверять CureIT, всё находит, всё удаляет.
    По другому с зараженной машины никак.
    Вот ссылка на подробное описание лечения http://notes.rudomilov.ru/2008/07/08...in32-sector-7/
    Последний раз редактировалось 3fir; 01.08.2008 в 22:59. Причина: Добавлено

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Ну так мы Вам давали ссылку http://virusinfo.info/showthread.php?t=15927
    Там 2 варианта, каждый подробно описан

    Нужно еще учесть 2 вещи перед лечением:
    1) Отключить восстановление системы, как написано в правилах (если еще не отключили).
    2) Если зараженный компьютер подключен к локальной сети, то его нужно оттуда отключить на время лечения.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. f:\\ipgwt.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)


  • Уважаемый(ая) 3fir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00806 seconds with 16 queries