conficker - не лечится антивирусами!
conficker - не лечится антивирусами!
Ситуация на 13.30 21 марта 2009г. в сети 58 компов ....заражены оказались 11..... 2 компа, после лечения антивирусами и утилитами ...так и остаются зараженными, на 3-х компах остались последствия(виснет explorer).....
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ситуация изменилась! НОД32 с сегодняшними базами стал определять вирус
C:\windows\system32\сл.набор букв . что-нибудь.... удаляет после перезагрузки - но вирус остается.
Лечить надо компьютеры:
- установить надежные пароли на учетные записи пользователей с правами администратора.
- установить обновления безопасности на Windows.
А conficker надо удалять.
Остался 1 комп заражен, на втором виснет любая прога установленная шелом.... как восстановить настройки проводника?? перезапись ветки реестра с аналогичной машины, результата не дала ....
Логи с больного можно получить?
напишите по шагам.... где создается "AVZ - virusinfo_syscure.zip"
Сделайте лог RootRepeal http://virusinfo.info/showthread.php?t=40120
Сердце решает кого любить... Судьба решает с кем быть...
вот привожу логи с проблемной машины
Последний раз редактировалось PavelA; 23.03.2009 в 12:24. Причина: Карантин был удален
Карантин из темы уберите! В логах AVZ червя не видно. Сделайте лог RootRepeal.
Сердце решает кого любить... Судьба решает с кем быть...
лог по запросу Александры
Да, не густо в логе.
Попробуйте это http://virusinfo.info/showthread.php?t=41675
После, не перегружая машину сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
Драйвер, дата создания 21.03.2009 - по моему это ОН! вирус.....
Это не он. Делайте то что написано.
Сердце решает кого любить... Судьба решает с кем быть...
прям на моих глазахпоявился в C:\windows\system32\drivers еще один драйвер!!! выслал в прикрепленном архиве.
Лог по вашему запросу еще делается.
У.... Как я с утра злой! Это драйвер AVZ. Не надо нам его присылать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
второй лог по запросу Александры.
Может я не правильно что то делаю....
в обычном режиме комп виснет минуты через 2-3...все логи я делаю в безопастном режиме.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('qitbed'); QuarantineFile('C:\WINDOWS\system32\bxkhyslg.dll',''); DeleteFile('C:\WINDOWS\system32\bxkhyslg.dll'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\qitbed','Description'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\qitbed'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('qitbed'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42178
3. Повторите лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Танец с бубном и заячьей лапкой привел к независанию компа.... логи сделал все заново...
Последний раз редактировалось Rene-gad; 23.03.2009 в 20:41.
Приношу свои извинения, за закачку ненужных файлов, это было вызвано только желанием быстрее решить проблему.
Добавлено через 5 минут
был получен скрипт лечения:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('qitbed');
QuarantineFile('C:\WINDOWS\system32\bxkhyslg.dll', '');
DeleteFile('C:\WINDOWS\system32\bxkhyslg.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Se rvices\qitbed','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Service s\qitbed');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('qitbed');
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта, карантин создан, но пустой, т.е. нет ни одного файла. Решил посмотреть в чем дело, для этого из скрипта убрал команду автоматической перезагрузки: RebootWindows(true);
в AVZ получил следующий листинг:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Удаление службы/драйвера: qitbed
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\bxkhyslg.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\bxkhyslg.dll)
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\WINDOWS\system32\bxkhyslg.dll
>>>Для удаления файла C:\WINDOWS\system32\bxkhyslg.dll необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Добавлено через 4 часа 32 минуты
кто сможет помочь??
Добавлено через 35 минут
ситуация изменилась, вирусы утилиты не находят. НО! explorer виснет, система тормозит очень сильно.
Последний раз редактировалось Alexsmz; 24.03.2009 в 13:42. Причина: Добавлено
УРА! оригинал файла сохранить не удалось но!!! после вырезания из реестра ссылок на этот файл все стало на свои места! пароль к архиву:virus.
Последний раз редактировалось pig; 25.03.2009 в 02:17. Причина: карантин в тему цеплять нельзя
Уважаемый(ая) Alexsmz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
