Показано с 1 по 10 из 10.

Ноутбук acer5623 был атакован... (заявка № 43967)

  1. #1
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37

    Question Ноутбук acer5623 был атакован...

    На ноутбуке Acer5623 был выполнен вредоносный код, который привел к следующему:
    1. KIS2009,HiJackThis,AVZ,IceSword перестали быть "приложением win32"
    2. Попытка загрузки в безопасный режим = синий экран смерти
    3. Запуск CureIt c флешки или копирование этого дистриба через Bluetooth привел к удалению всех драйверов USB и Bluetooth, в том числе и мыши (хорошо хоть тачпад спас)
    4. При перезагрузке ноута автоматически стартует браузер по умолчанию и с частотой 0.5Гц начинает грузить страницы. Это решилось позже с помощью удаления некоего процесса с именем SiteVacuumClient.exe
    Запароленный архив со зловредом могу предоставить при необходимости.

    Что сделано для лечения:
    1. Система проверена диском резервного копирования KIS2009, найдено 18 зловредов и несколько троянских программ. Все удалены.
    2. При перезагрузке опять все появилось заново пока я снова не загрузился с диска резерв копирования и удалил этот SiteVacuumClient.exe
    3. KIS2009 пришлось переустановить, а все прочие EXE файлы спец утилит начали нормально запускаться только после того, как были заново разархивированы из архивов.
    4. KIS2009 проверил систему в режиме "полной проверки" и ничего не нашел.

    Что тревожит:
    1. Ноут загружается очень долго, более 3 минут, во время загрузки судя по индикатору работы диска заметны паузы до 30 сек
    2. KIS2009 загружается последним и до тех пор все сетевые программы ждут
    3. Надпись "Protected by Kaspersky Lab" на экране приветствия не отображается, только при завершении работы.
    4. Запуск всех программ стал долгим, вообще реакция системы на средства ввода стала заметно более долгой.

    Прошу специалистов посмотреть логи.
    Лог virusinfo_cure.zip имеет размер 42Мб - куда его выложить?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
    O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
    Перед запуском скрипта выгрузите ваш антивирус, отключитесь от сети.

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
     DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
     QuarantineFile('C:\Program Files\recfree\tbrecf.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Wbutton.sys','');
     QuarantineFile('C:\Documents and Settings\Vladi\Application Data\drivers\wfsintwq.sys','');
     QuarantineFile('C:\Documents and Settings\Vladi\Application Data\drivers\srosa2.sys','');
     DeleteFile('C:\Documents and Settings\Vladi\Application Data\drivers\srosa2.sys');
     DeleteFile('C:\Documents and Settings\Vladi\Application Data\drivers\wfsintwq.sys');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    BC_ImportDeletedList;
     BC_DeleteSvc('srosa');
     BC_DeleteSvc('sK9Ou0s');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43967.
    Выгрузите ваш антивирус и повторите логи.

    Добавлено через 42 секунды

    SiteVacuumClient.exe заархивируйте с паролем virus и пришлите по ссылке, которую я дал.
    Последний раз редактировалось light59; 16.04.2009 в 17:49. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37
    Проделано:
    1. Пофиксил указанное в HijackThis
    2. Выполнил указанный скрипт (без ошибок)
    3. Выгрузил KIS2009
    4. Повторил логи. Лог virusinfo_cure.zip имеет размер чуть более лимита
    5. Высылаю карантин. SiteVacuumClient.exe к сожалению удалил сразу, выслать не могу... Но он появился после запуска исходного зловреда, последнего заархивировал сразу с паролем newvirus, сейчас переделывать побоялся....
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37
    Правильно ли выполнены рекомендации или что-то сделано не корректно?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    install_patch.exe_ - Trojan-Downloader.Win32.Bagle.aqy
    Детектирование файла будет добавлено в следующее обновление.

    Сейчас проблемы наблюдаются?
    Обновите базы Каспера и сделайте им полную проверку.

  7. #6
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37
    Базы обновил, проверку сделал. Вирусов нет. Все чисто.
    Но такая долгая загрузка системы меня не устраивает, ноут еще и греется сильно, вентиляторы раньше так активно не работали при нулевой нагрузке...
    Пробовал использовать Bootvis в режиме оптимизации загрузки, ноут простоял несколько часов с окном "optimazing...", винт при этом активно работал... Пришлось остановить эту "оптимизацию" перезагрузкой.
    Когда система загружается очень много пауз, поддержка сети и каспер грузятся последними, что раньше не наблюдалось.
    Вообщем, что-то не так...

  8. #7
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37
    Произвел переустановку WinXP SP3 в режиме обновления. Проблемы с загрузкой исчезли, теперь компоненты загружаются правильно и быстро. Но на последнем этапе установки ноут завис (когда на экране эмблема Windows c надписью под ней "Пожалуйста, подождите"). Вообщем, единственное оптимальное решение, наверное, как всегда - чистая переустановка WinXP...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Можно было почистить систему от мусора. Очень хорошо помогает ccleaner

  10. #9
    Junior Member Репутация
    Регистрация
    20.01.2008
    Сообщений
    39
    Вес репутации
    37
    Ccleaner оказалась очень неплохой программой - почистил хорошо. Но дело в том, что после удаления вируса и продуктов его жизнедеятельности не всегда возможно восстановить систему на 100%. В моем случае зловред отключил некоторые службы WinXP, связанные с безопасностью (я это случайно заметил) - думаю именно это и нарушило "нормальность" загрузки системы. Вопрос на будущее - как можно вернуть дефолтные настройки служб без переустановки WinXP? Снова использовать сторонние программы или в системе есть другие возможности?

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vladi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Я атакован Trojan.Winlock.179
      От kaa8piton в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.01.2010, 11:06
    2. Атакован вирусом через explorer.exe
      От Yuzner в разделе Помогите!
      Ответов: 29
      Последнее сообщение: 31.12.2009, 17:14
    3. ПК Атакован
      От Kasper_alp в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.06.2009, 06:17
    4. ПК атакован вирусом Win32/Adware.Virtumonde
      От adepT в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.10.2008, 11:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00472 seconds with 17 queries