-
непонятный autorun
Тема такая. Немножко тупит комп, это раз. Сожрало NOD32 - это два. Заблокирован диспетчер задач, редактор реестра и безопасный режим - это три. AVZ запустил только когда екзешник переименовал в 111.ехе, иначе его закрывает с интервалом в 3-5 сек.
CureIT также прибивает. Установку антивирусов прибивает (касперский тянул дольше всех, сдох на копировании файлов).
Прогнал полностью AVZ, ничего не видит.
В общем в переименованном виде сделал логи, посмотрите, пожалуйста. Флешку специально в компе оставил, чтоб файлы авторана засветить!
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\ywhp.pif','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\ywhp.pif');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29272
Повторите логи.
-
карантин выслал
блокировки после перезагрузки сразу же вернулись, как и автораны.
логи прилагаю.
там, кстати, после стандартных скриптов еще один файлик закарантинился, я его тож приложил.
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
-
-
Диск G: - это флэшка?
Оставьте ее подключенной на время выполнения скрипта и логов.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\glnmjn.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\glnmjn.sys');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\eruyee.pif');
BC_ImportALL;
BC_DeleteSvc('asc3360pr');
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите по правилам новый карантин
и сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
да мне тут в личку прислали
У вас по классификации DRWEB сидит Win32.sector.5. Сочувствую.
Описание и метод борьбы тут...
http://info.drweb.com/virus_description/172448
Успехов.
PS Ужасная штука - очень тяжело вывести эту заразу...
Может проще систему навернуть???
Последний раз редактировалось antivor; 01.09.2008 в 06:52.
-
Против Сектора существует пункт 2 правил.
-
-
данный пункт всем хорош, кроме одного: сейчас машина в безопасный не грузится. и из всех доступных мне антивирей я смог только AVZ запустить и Trojan remover. Имеет смысл из-под LiveCD?
а скриптик счас исполним, благодарю.
взял другую флешку, маленькую и пустую. пускай подавится.
имя диска флешки на D: поменялось правда. на ней создается файл с другим именем и размером, я в карантин его тож включил, чтоб по 3 раза не оттправлять потом, вдруг пригодится.
а логи прикладываю.
Последний раз редактировалось antivor; 12.02.2009 в 09:49.
-
Сообщение от
antivor
данный пункт всем хорош, кроме одного: сейчас машина в безопасный не грузится.
- Выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
executerepair(10);
RebootWindows(true);
end.
После этого попробуйте провести лечение: http://virusinfo.info/showthread.php?t=15927
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\drivers\glnmjn.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('asc3360pr');
QuarantineFile('C:\WINDOWS\system32\drivers\glnmjn.sys','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\pfqd.pif','');
DeleteFile('D:\pfqd.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drivers\glnmjn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
загрузился в безопасный. CureIT пожирает экзешники. очень печальное зрелище
-
Плохо, если пожирает. По-правильному должен лечить. Что пишет?
В принципе, можно эту бойню пока тормознуть и отправить в вирлаб несколько образцов с описанием проблемы. Если файлы поддаются лечению, то поправят.
-
-
я неверно выразился лечит. а нод с флешки у меня пожрал, после него уже не запускается...
после лечения и скрипта в безопасном режиме, все вроде нормализовалось.
автораны не появляются, диспетчер задач и редактор реестра я разблокировал, работают. сейчас сделаю логи и поставлю антивирус, напишу, как чего
Касперский поставилсо! логи прикрепил, вроде работает!
Последний раз редактировалось antivor; 01.09.2008 в 13:35.
-
Теперь ещё Касперским для пущей уверенности прогоните. Если не найдёт ни одного Sality - значит, с файловым вирусом здесь и сейчас покончено.
-
-
ВСЕМ ОГРОМНОЕ СПАСИБО!!
кажется, все чисто! спасибо за помощь, в следующий раз с безопасным режимом так не ступлю
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- d:\\pfqd.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- g:\\eruyee.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- g:\\ywhp.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
- pfqd.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.9)
-