Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Conficker. (заявка № 37890)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34

    Question Conficker.

    Привет.
    Прочитал новость об эпидемии червя - попытался зайти на сайт майкрософта - не получилось. Из антивирусов стоит Nod32, обновленный, не обнаружил ничего. Фаервола не имею. Понятия не имею также, как отключить автозапуск USB устройств.
    Удалил Конфикер с помощью майкрософтовской утилиты (windows-kb890830-v2.6), установил патч на ХР, поменял пароль администратора - вроде бы удалилось.
    Но конфикер все равно продолжает лезть. Удалял уже раза три-четыре - без успеха. Сейчас это зашло настолько далеко, что svchost.exe завершается с ошибкой и после этого система отвисает.
    Я в отчаянии. Формат делать нельзя - важные файлы. Помогите пожалуйста избавиться от гадости. Не хочу быть в списке зомбей досящих сайт президента.

    Ниже прилагаю три лога в соответствии с правилами.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Лог прикрепил.
    Вложения Вложения
    • Тип файла: log gmer.log (72.2 Кб, 21 просмотров)

  5. #4
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Бамп. Опять лезет.
    CureIt определяет зверя как Win32.HLLW.Shadow.based.
    Последний раз редактировалось AndrewBG; 21.01.2009 в 11:09.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\dnzin.dll ',' ');    
    DeleteFile('C:\WINDOWS\system32\dnzin.dll');
    DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    На этом лечение не закончится!

    После выполнения скрипта, сделайте еще раз лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Скрипт не удалил ничего. Чтобы зайти на сайт и взять его мне пришлось удалить именно тот самый dll, потому что вирус блокирует любые адреса содержащие virusinfo, microsoft и так далее. А если я его удалю еще раз, чтобы зайти и скопипастить новый скрипт на удаление новой твари - тварь при следующем ребуте делает dll уже с другим именем. Замкнутый круг.

    Видимо придется делать формат.
    Теперь такой вопрос: конфикер может заразить файлы с расширением *.ai, *.fla, *.as, *.eps, если их аплоадить с освобожденного на некоторое время компьютера на сервер через фтп? Хотя бы часть файлов сохраню, если да.
    Последний раз редактировалось AndrewBG; 21.01.2009 в 23:26.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Цитата Сообщение от AndrewBG Посмотреть сообщение
    Видимо придется делать формат.
    Не надо делать формат! Мы что тут зря стараемся!?

    Добавлено через 17 минут

    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('jmqnyud');
     DeleteService('wnzbubia');
     DeleteService('xhnkdnvn');
     DeleteService('ycpizatbr');
     DeleteService('zeakfyv');
     QuarantineFile('C:\WINDOWS\system32\dnzin.dll',' ');    
     DeleteFile('C:\WINDOWS\system32\dnzin.dll');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud','Description');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia','Description');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn','Description');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr','Description');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\jmqnyud');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wnzbubia');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\xhnkdnvn');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\ycpizatbr');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zeakfyv');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('jmqnyud');
     BC_DeleteSvc('wnzbubia');
     BC_DeleteSvc('xhnkdnvn');
     BC_DeleteSvc('ycpizatbr');
     BC_DeleteSvc('zeakfyv');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=37890

    3. Повторите лог Gmer.
    Последний раз редактировалось Aleksandra; 22.01.2009 в 00:21. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Карантин прислал, лог gmer сделать не могу - после перезапуска системы через некоторое время завершается ошибкой процесс svchost.exe, после чего система зависает намертво. Помогает только резет.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    А в безопасном режиме грузится?
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Да. Вот лог.
    Вложения Вложения
    • Тип файла: log gmer.log (50.4 Кб, 8 просмотров)

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    1. Выполните скрипт в AVZ:

    Код:
    begin
     DeleteService('trcqw');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\trcqw');
     BC_DeleteSvc('trcqw');
     BC_Activate;
     RebootWindows(true);
    end.
    2. Повторите лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Вот.
    Вложения Вложения
    • Тип файла: log gmer.log (49.5 Кб, 4 просмотров)

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Что с проблемой?
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Вирус пока не подает признаков жизни, сайт майкрософта открывается. Но gmer ругается.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Загрузка проходит нормально?

    Добавлено через 5 минут

    Цитата Сообщение от AndrewBG Посмотреть сообщение
    Но gmer ругается.
    Знаю, а вообще опасности от такого ключа нету.

    Добавлено через 2 минуты

    Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).

    Добавлено через 2 минуты

    HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
    HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
    HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw
    Последний раз редактировалось Aleksandra; 22.01.2009 в 05:38. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  18. #17
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Загрузка проходит нормально?
    Загрузка системы? Пока что ошибок от svchost не было, тьфу-тьфу-тьфу, чтоб не сглазить.
    Давайте мы удалим эти ключи с помощью самого же Gmer в закладке реестр (в ручную).
    В HKLM\SYSTEM\CurrentControlSet\Services все ключи с trcqw
    HKLM\SYSTEM\ControlSet002\Services все ключи с trcqw
    HKLM\SYSTEM\ControlSet001\Services все ключи с trcqw
    Если не сложно, как это можно сделать? Ключи нашел, а вот удалить - не знаю как.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Все понятно?
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    17
    Вес репутации
    34
    Вирус опять активен.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    С чего Вы взяли?
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) AndrewBG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Conficker
      От Luigi в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 27.05.2010, 21:10
    2. И снова он-Conficker.AA и новый Conficker.AE
      От Krossovka в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 21.08.2009, 22:49
    3. Conficker!mem
      От Sharku в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.08.2009, 16:46
    4. Conficker.X & Conficker.AA на Windows 2000 server
      От M.Kristo в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.04.2009, 07:13
    5. Conficker.X
      От well25 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.01.2009, 18:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01158 seconds with 17 queries