-
Junior Member
- Вес репутации
- 61
Атака троянов на ноутбук [Backdoor.Win32.Zdoogu.j, , Trojan-Ransom.Win32.Hexzone.agn
]
Добрый день!
Ноутбук атаковали вирусы. McAfee обнаружил New Poly Win32 (файл не может быть вылечен, удален или перемещен).
Начали диагностику по вашей схеме.
CureIt! обнаружилTrojan DownLoader (неизлечим). После выполнения первого скрипта AVZ и соответствующей перезагрузки автоматически включился McAfee и после попытки удалить зараженный файл началось следующее: при открытии любого окна Интернета посередине страницы появлялась так называемая «новостная лента», которую никак невозможно удалить (с предложением отправить sms на указанный номер).
На форум virusinfo вход стал возможен только после повторной проверки CureIt! (снова обнаружил пару троянов - вылечить не удается, предлагает только move).
Как с этим бороться? Очень не хотелось бы переустанавливать Windows – на ноутбуке он был предустановлен, диска не прилагалось.
И еще: не уверены, что AVZ получил именно те файлы, которые нужно, ибо скачался он в англоязычном варианте (русский шрифт не читается), поэтому выполнили те скрипты, которые подходят по смыслу перевода. Если нужно выполнить другое, сообщите, пожалуйста, если нетрудно, их английские варианты или же номера скриптов.
Очень надеемся на вашу помощь!
Последний раз редактировалось Morwane; 04.04.2010 в 18:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Установите AVZPM и сделайте логи...
-
-
Junior Member
- Вес репутации
- 61
Сделали.
Тока после проверки AVZ создает три зипованных архива: virusinfo_syscure, virusinfo_cure и virusinfo_files_TOSHIBA-USER. Два последних по 7 с лишним Мб, и они превышают лимит.
Мы что-то делаем не так?
Последний раз редактировалось Morwane; 02.12.2009 в 21:34.
-
все выполняется (и логи в том числе) в нормальном режиме ...
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%Windir%\expmodule.exe');
QuarantineFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe','');
QuarantineFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
DeleteService('oryadwikuanvg');
QuarantineFile('C:\WINDOWS\system32\drivers\rckutnsq.sys','');
QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
DeleteFile('C:\WINDOWS\system32\drivers\rckutnsq.sys');
DeleteFile('C:\WINDOWS\system32\1703995386663891751713107338666383866638.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнили. Пропали ВСЕ значки с рабочего стола.
С трудом вышли в Интернет.
Что делать?! Можно ли как-то откатить назад?
Карантин отправлен.
Последний раз редактировалось Morwane; 14.01.2009 в 00:57.
-
Junior Member
- Вес репутации
- 61
Логи.
Последний раз редактировалось Morwane; 02.12.2009 в 21:34.
-
Карантин в теме - это моветон.
-
-
Junior Member
- Вес репутации
- 61
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('digeste.dll');
DeleteFile('C:\System Volume Information\_restore{BC554F74-5213-4B02-B93C-494AF5486CCD}\RP1\A0000009.exe');
DeleteFile('C:\WINDOWS\system32\3342392367003512451966553736700353670035.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('oryadwikuanvg');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Bratez, спасибо.
Подскажите, пожалуйста, как отключить восстановление системы.
Повторюсь - у нас пропала кнопка Пуск и все значки с рабочего стола. Есть только Диспетчер задач (в нем поискали - возможности отключить восстановление не нашли).
Последний раз редактировалось Morwane; 14.01.2009 в 18:43.
-
Сообщение от
Morwane
Подскажите, пожалуйста, как отключить восстановление системы
Ctrl-Alt-Del (Диспетчер задач) - Файл - Новая задача - sysdm.cpl
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Дальше - круче!
Сделали еще одну попытку. Вошли в Диспетчер задач, нажали на Мой компьютер правой кнопкой и попытались открыть Проводник. Попытка была безуспешной. НО! После этого восстановились значки и появилась кнопка Пуск. Что это было?!.
Нужно ли выполнять в данной ситуации предложенный вами скрипт? Или сделать что-то другое?
-
Скрипт выполняйте, потом новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Выполнили скрипт. После перезагрузки снова на рабочем столе значки не появились. Вернули их так же, как в предыдущей попытке.
Кстати, при этой операции появляется окошко: «Windows не удалось найти ‘/e,/idlist,:708:2216,’ (в другом варианте: e,/idlist,:656:2560,’). Проверьте, что имя было введено правильно, и повторите попытку».
Логи прилагаю. К сожалению, AVZ по-прежнему не создает архив virusinfo_syscheck (возможные причины изложены выше).
Последний раз редактировалось Morwane; 04.04.2010 в 18:01.
-
Junior Member
- Вес репутации
- 61
Что нам еще нужно предпринять?
-
подождем ответ на присланный карантин
-
-
Junior Member
- Вес репутации
- 61
Добрый день! Что там с нашим карантином?
Добавлено через 2 часа 52 минуты
Еще такой вопрос: ноутбук длительное время не был подключен к Интернету. Теперь Windows предлагает установить много обновлений.
Стоит ли их сейчас устанавливать, или лучше подождать окончания лечения?
Последний раз редактировалось Morwane; 15.01.2009 в 13:24.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 61
Уже устанавливаем.
А что там с нашим карантином?
-
-