-
Junior Member
- Вес репутации
- 58
Вирус создаёт в корне дисков *.exe, *.pif, *.inf
Здравствуйте! Очень нужна ваша помощь!
Вирус отключил taskmgr, regedit. Создаёт в корне некоторых дисков файлы типа kdsjhf.exe, autorun.inf, jirnfsda.pif (пример. они могут всегда называться по разному). Сделал всё как указано в rules, но т.к. компьютнр находится в домене, такое ощущение что если подгрузиться под Администратором не в домене, а просто на этом компе, то будут дркгие результаты тестов(т.к. под Администратором диспетчер задач работает), так же такое же ощущение если подгрузиться под другим пользователем в домене. Так же этот вирус(или не этот...) отключил полностью работу касперского(версия 6.0.2.690 для рабочей станции в домене + сам KAT в домене показывает, что все компьютеры в домене находятся в критическом состоянии).
Логи прикладываю.
Надеюсь на скорую помощь, т.к. у самого ничего не получается, и времени очень мало, т.к. я подозреваю, что нужно ещё будет лечить сервер........... Спасибо заранее.
Да, забыл сказать касперский когда ещё работал, на эти файлы в корне дисков никак не реагировал, хотя базы регулярно обнавляются.
Нашел на вашем форуме несколько похожих тем, но т.к. в правилах написано что для каждой машины всё будет индивидуально, прошу вас посмотреть, и помочь в данной ситуации. Спасибо.
Последний раз редактировалось leon; 05.10.2008 в 23:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('I:\uthcd.pif','');
DeleteService('dac970nt');
DeleteFile('I:\uthcd.pif');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-
Пофиксите
1. От сети отключаю(выдергиваем кабель)
2. Не работет/не запускается
3. отключено
4. пофиксил всё кроме O23. Ввожу как показано на примере что нужно в скобочках если есть, пишет что просесс работает/занят... что делать не знаю.
Сообщение от
Rene-gad
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Что делать с этим кодом?
Сообщение от
Rene-gad
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\soqjnl.sys','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('I:\uthcd.pif','');
DeleteService('dac970nt');
DeleteFile('I:\uthcd.pif');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\drivers\soqjnl.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('dac970nt');
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Скрипт не выполнял, пока первое не сделано правильно как вы просили. Да, ИЕЕхсплорер не запускается-уже пишет что обнаружена ошибка приложение будет закрыто.. что с этим делать?
Диспетчер задач и редактор реестра включаются на пару секунд если в AVZ запустить мастер поиска и устранения проблем. там их всего шесть.. блокировка реестра, диспетчера, элементов пуск, автозапуск с хдд, с сетевых дисков, со сменных носителей.
Дальше не делал.
Жду ответа что делать.
Если есть возможность может в icq?
Последний раз редактировалось leon; 14.09.2008 в 21:30.
-
Сообщение от
leon
Жду ответа что делать.
1. Выполнить скрипт.
2. Прислать карантин.
3. Повторить логи.
4. Перечислить оставшиеся проблемы (если таковые будут).
-
-
Сообщение от
leon
4. пофиксил всё кроме O23.
Все фиксить не нужно -только указанное, О23 я Вас и не просил фиксить.
В остальном - читаем сообщение Синауридзе Александр
-