Замучал Conficker.AA [Net-Worm.Win32.Kido.fq ]

[kardens]

Никак не могу избавиться от Conficker.AA
Их у меня сидело двое: Conficker.A и Conficker.AA. Первый был отловлен НОДом после обновления баз от 02.01.09, от второго избавиться никак не могу. Действия схожи с Conficker.A, но:
- NOD32 зараженный файл не находит, пресекает только результаты работы (ломится наружу). Прочие антивирусные утилиты его тоже не ловят;
- пытается внедриться во внешние носители;
- блокирует сайт microsoft.com и сайты и форумы антивирусов и прочих "вирусологов". Блокирует по доменному имени, попасть на недоступный сайт можно только через IP, например на вашем virusinfo.info я смог зарегистрироваться только через 216.246.90.119

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\wc98pp.dll','');
 DeleteService('NMIndexingService');
 QuarantineFile('NMIndexingService.sys','');
 DeleteFile('NMIndexingService.sys');
 DeleteFile('C:\WINDOWS\wc98pp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[kardens]

Сорри, перепутал файлы при отправке...
Вот:

[kardens]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\wc98pp.dll','');
 DeleteService('NMIndexingService');
 QuarantineFile('NMIndexingService.sys','');
 DeleteFile('NMIndexingService.sys');
 DeleteFile('C:\WINDOWS\wc98pp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

Я правильно понимаю последовательность?
1. Выполнить скрипт
2. Перезагрузиться, как рекомендовано после выполнения скрипта в AVZ (выполнил, начал перезагрузку - комп повис, пришлось вырубать вручную).
3. Создать и отправить карантин
4. Повторить логи.

[kardens]

выполните скрипт

Код:

begin
...
end.

пришлите карантин согласно приложения 3 правил
повторите логи

1. Обновил базы AVZ
2. Выполнил скрипт - комп перегрузился.
3. Отправил карантин:

Файл сохранён как 090105_174117_virus_49621c0d744f0.zip
Размер файла 31408
MD5 dd272da354fee9fa6a2a738647258689

4. Прикрепил новые логи.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\weatt.dll','');
DelCLSID('BBCA9F81-8F4F-11D2-90FF-0080C83D3571');
DeleteFile('C:\WINDOWS\wc98pp.dll');
DeleteFile('C:\WINDOWS\system32\weatt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[kardens]

При работе скрипта NOD выдал сообщение о перехвате вируса при попадании в карантин. Никаких действий по очистке или удалению не предпринимал - компьютер перегрузился сам. Вот строчка лога из журнала НОДа:

05.01.2009 19:39:34 Real-time file system protection file C:\Install\Antivir\AVZ\avz4\avz4\Quarantine\2009-01-05\avz00002.dta a variant of Win32/Conficker.AA worm unable to clean NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Install\Antivir\AVZ\avz4\avz4\avz.exe.

После перезагрузки деятельности вируса не наблюдается - в сеть никто не ломится, все сайты открываются нормально. Вирус удален?
Запрошенный карантин прикрепил:

Файл сохранён как 090105_200338_virus_49623d6a7cbf5.zip
Размер файла 189635
MD5 3a74ea04754d225ddb8250ecb5eb9716

Логи повторять стоит?

[light59]

Написано ведь

повторите логи

[kardens]

Написано ведь

Понятно, файлы логов сделал и прикрепил.

[V_Bond]

что с проблемами ?

[kardens]

что с проблемами ?

После перезагрузки деятельности вируса не наблюдается - в сеть никто не ломится, все сайты открываются нормально. Вирус удален?

[Гриша]

Да...

[kardens]

Всем спасибо!
Еще пару вопросов:
1. Могут ли другие пострадавшие использовать этот алгоритм лечения?
2. Как обезопаситься от него в дальнейшем? Говорят, что НОД уже имеет сведения об этом вирусе в своих базах. Это так и повторного заражения можно не боятся?

[V_Bond]

1 не преветствуется , каждый случай уникален ....
2 стоит бояться ....

[drongo]

2)от данного типа, как и от многих других помогает работа под ограниченным пользователем, так как нет прав записи в те папки, куда данный вирус записывает себя.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\weatt.dll - Net-Worm.Win32.Kido.fq (DrWEB: Trojan.Siggen.2002)