Через 10-15 минут после старта системы становится невозможна работа по протоколу FTP и через HTTP прокси. Пинги на FTP и прокси сервера ходят нормально.
Через 10-15 минут после старта системы становится невозможна работа по протоколу FTP и через HTTP прокси. Пинги на FTP и прокси сервера ходят нормально.
Последний раз редактировалось lSnakel; 08.12.2008 в 18:16.
Закройте все открытые приложения, кроме АVZ . Отключите - ПК от интернета/локалки - Антивирус и Файрвол. Выполните скрипт @ avzЗакачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=35336 P.S. адреса в файле hosts сами прописывали ?Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe',''); QuarantineFile('C:\WINDOWS\system32\nrlnwayj.dll',''); QuarantineFile('C:\WINDOWS\system32\msansspc.dll',''); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; executerepair(6); executerepair(8); executerepair(9); RebootWindows(true); end.
Последний раз редактировалось drongo; 08.12.2008 в 18:31.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
C:\WINDOWS\system32\nrlnwayj.dll -Net-Worm.Win32.Kido.i (kaspersky)
во первых, удалим сей подарочек,
скрипт в avz выполнить:
во вторых, советую пройтисьКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\nrlnwayj.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; executerepair(6); executerepair(8); executerepair(9); RebootWindows(true); end.
сканером в безопасном режиме, знающего данный червь.avptool например, только перед этим отключить nod32 и инет тоже .
в системной папке поищите файл nqdeolmh.ilc , если найдётся - удалить. ( можно через avz)
После всех процедур, новые логи сделать для контроля.
Последний раз редактировалось drongo; 08.12.2008 в 19:40.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
"Подарочек" удалил, nqdeolmh.ilc не нашел, запустил avptool в безопасном режиме, оставляю сканирование, убегаю домой, утром сообщу результаты.
Спасибо за помощь, вроде как лечится. Правда зараза успела расползтись по всей организации. Заметил что кроме system32 червь сидит в c:\Documents and Settings\NetworkService.NT Authority\Local Settings\Temporary Internet Files\Content.IE5\ бывает лежит прямо там, бывает создает папку с произвольным именем, имя файла в разных случаях разное, бывает повторяется у тех что мне попадались имя заканчивается на[1].jpeg.
Ну да, на то он червь. Легче бороться, когда антивирус знает его, иначе можно до потери пульса лечить и заражаться вновь.
Можно ограничить заражение, если все компьютеры будут под ограниченным пользователем работать, однако от нахождения червяка во временных файлах браузера- это не поможет.
в сапорт нода надо писать, с прикреплённым экземпляром, может вам повезёт и добавят в этом году, хотя сомневаюсь
в логах больше червя не видно, но это временно. можно ещё для повторного анализа сделать лог virusinfo_syscure.zip от специальной версии avz, она больше скрытых мест показывает.( у меня в подписи )
Пора обновлять систему, и драйвера касперско почему-то работают. avptool активный или что-то ещё от касперского? не порядок.драйвера могут мешать ноду и наоборот.
Последний раз редактировалось drongo; 09.12.2008 в 17:27.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Машины с WinXP SP3 вроде бы не поддаются заражению, потихоньку ставлю всем третий сервис пак.
Забыл спросить, AVPTool ругается на кейлоггер в своем дистрибутиве, я так понимаю, это нормально?
Раньше стоял Касперский, потом великое начальство решило что мы как специалисты ничего не стоим раз им пользуемся, в результате в организации был высажден десант в виде малолетнего кулхацкера, родственника кого то из начальников, который устанавливал и настраивал НОД, так что остатки Касперского могли и остаться. Вообще политики безопасности никакой, уххх, как бы я права юзверям порезал, вот только не в моей это компетенции, я только должен разгребать последствия чьей-то криворукости и безголовости...
ЗЫ Сорри за оффтоп, наболело.. .
Последний раз редактировалось lSnakel; 09.12.2008 в 21:17.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\nrlnwayj.dll - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561
- \\2008-12-08\\bcqr00003.dta - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561
- \\2008-12-08\\bcqr00004.dta - Net-Worm.Win32.Kido.i (DrWEB: Trojan.DownLoad.2561
Уважаемый(ая) lSnakel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.