-
Junior Member
- Вес репутации
- 57
Где-то нахватал заразы
Недели 2 назад лечился, то ли не до конца вылечился, то ли новой нахватал.
Симптомы отличны от предыдущих:
Тупит нет при открытии страниц (скачивание вроде на уровне)
Значительно упала скорость раздачи в торент-клиенте (такое впечатление что порты раздачи заняты)
Ни с сего ни с того появляется ограничение открытых окон (в особенности после длительной работы компьютера без перезагрузки). Т.е. в какой то момент я немогу ни открыть нового приложения, ни даже залесть в свойства уже открытого(вообщем любое действие в результате которого появится новое окно или панель невозможно. Даже тупо нажатие кнопки файл не дает результата) пока не закроешь какое нибуть окно или завершишь какой нибудь процесс. Для открытия диспетчера задач тоже необходимо что нить закрыть.
Вообщем где то так.
P.S. за SP2 сильно не бейте, у меня диплом...
Последний раз редактировалось Sergei ya; 07.12.2010 в 20:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\rdl4.tmp.exe','');
DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KEC24TA8\1[1].exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KEC24TA8\1[2].exe');
DeleteFile('C:\WINDOWS\Temp\rdl4.tmp.exe');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временный папки интернета.
Сделайте новые логи по правилам.
-
-
Junior Member
- Вес репутации
- 57
Карантин:
Файл сохранён как
090702_221627_virus_4a4cf97bb3561.zip
Размер файла1020450MD5229b7ccf5f09d85d508960d6c234f853
Логи будут позже (время выполнения 2-3 часа а по Москве уже одиннадцатый час)
При описании забыл:
Стационарно стоит Dr.web, базы обновляю раз в неделю - молчал (2й раз за 2 недели!), скаченый каспер(tool) промолчал, cureit на 25-35% закачки вылетал с ошибкой по тайм ауту. Во время проверки AVZ забыл (виноват) отключить Dr.web. Так вот при автоматическом добавлении AVZ файлов в карантин Dr.web начал ругаться на вирус в папке карантина (значит всё таки видит зараза )
-
Junior Member
- Вес репутации
- 57
Повторные логи
Как то быстро сделался скрипт лечения/карантина... всего час, (обычно 2,5);
Вопрос по правилам:
В он-лайн версии правил сказано: отключить все, сделать лог syscure, перегрузиться. Подключиться к нету, сделать лог syscheck и hijackthis.log
В офф-лайн версии: отключить все, сделать лог syscure, перегрузиться. Сделать лог syscheck и hijackthis.log. И только потом включить антивирус и нет.
Имеет ли это значение (логи делал по оффлайн версии), если да то переделать 2й и 3й лог? Ну и к слову о системе менеджмента: возможно ли привести правила к единообразию?
Последний раз редактировалось Sergei ya; 07.12.2010 в 20:41.
-
в логах чисто ....
версия правил - онлайн точнее , спасибо за замечание приведем к единообразию ...
-
-
Junior Member
- Вес репутации
- 57
Бошое спасибо
Спасибо за помощь
Это основное отличие правил, есть еще несколько мелочей. Видимо в результате постоянных дополнений и улучшений основной версии правил, оффлайн несколько отстает в развитии .
Ух, ну хоть чем то помог Великим людям!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\kec24ta8\1[1].exe - Trojan.Win32.Delf.nno ( DrWEB: Trojan.DownLoad.38523 )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\kec24ta8\1[2].exe - Backdoor.Win32.Delf.prl ( DrWEB: Trojan.DownLoad.38523, BitDefender: Trojan.Generic.2049195 )
- c:\windows\system32\sfcfiles.bak - Trojan.Win32.Patched.fr
- c:\windows\temp\rdl4.tmp.exe - Backdoor.Win32.Delf.prl ( DrWEB: Trojan.DownLoad.38523, BitDefender: Trojan.Generic.2049195 )
-