Имеются reader_s.exe, msdrive32.exe, возможно, ещё гадости, сами по себе запускаются непонятные .exe (703.exe - цифры разные, меняются), .tmp (В3.tmp и т.д.), нахождение и удаление в папках и реестре ни к чему не приводит - после запуска всё опять "на месте", также имеется куча svchost.exe (на данный момент запущено 13).
Зайти на сайты о лечении / удалении этого добра невозможно, сайты антивирусов блокированы, на Ваш сайт удаётся зайти только через http://216.246.91.178/~virusinf - через virusinfo.info тоже никак. Установить антивирусы с диска никак - просто ничего не происходит, в "лучшем" случае программа зависнет при инсталяции.
По инструкции в Правилах стянула и проверила AVPtool - найдено 1402 зараженных файлов - сплошные .ехе, включая даже сам avptool, после проверки часть файлов вылечена, что-то в каратине, что-то удалено, по утверждению программы вылечены / карантине / удалены все найденные поражженные файлы.
AVZ, стянутую по ссылке в Ваших Правилах, сначала поставить не удалось - требовалось rundll32.exe, пришлось искать и скачивать, после этого программа установилась. Скриптов на выбор было 6:
1 Detect and block UserMode and KernelMode hooks
2 Advanced System Analysis
3 Advanced System Analysis with malware removal mode enabled
4 Collecting not recognized and suspicious files (с этим скриптом я и сделала логи, если неправильно, напишите, пожалуйста, с каким надо)
5 Update signature database
6 Delete all AVZ drivers and registry keys
Логи весят более 11МВ каждый, называются иначе, программа вообще логи проверки без инета потом сложила туда же, куда и логи проверки с подключенным интернетом, пришлось сделать по второму разу. Как в данном случае сделать правильные логи?
С программой HiJackThis проблем не возникло. Лог прилагаю.
Заранее спасибо за помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы запустить AVZ с русским интерфейсом надо в командной строке указать параметр: lang=RU
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
QuarantineFile('E:\WINDOWS\System32\reader_s.exe','');
DeleteFile('E:\WINDOWS\System32\reader_s.exe');
QuarantineFile('E:\WINDOWS\system32\B.tmp.exe','');
DeleteFile('E:\WINDOWS\system32\B.tmp.exe');
QuarantineFile('E:\WINDOWS\system32\regedit.exe','');
DeleteFile('E:\WINDOWS\system32\regedit.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe');
QuarantineFile('E:\WINDOWS\msdrive32.exe','');
DeleteFile('E:\WINDOWS\msdrive32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте логи AVZ и приложите к этой теме.
Скрипт выполнила, программа сообщила об успешном исполнении, reader_s вроде пока не появился, msdrive32 снова висит в процессах. .tmp и .exe появляются только при подключенном интернете, их названия постоянно меняются.
Про svchost.ехе - ту тему просмотрела, в regedit не попасть, видимо, попал "под раздачу" Касперского при той проверке. Эти svchost, кстати, тоже активно множатся только при подключенном интернете.
Ссылки "Прислать запрошенный карантин" у меня нет вообще
UPD: Нашла, архив virus.zip отослан.
По указанной ссылке использовала сначала указанный там CureIt (нашел 10 "вредностей", 6 вылечил, 4 удалил).
После него применила метод Live CD Vba32 Rescue.
msdrive.exe в процессах пока не появился, количество svchost.exe - 9 штук на данный момент, по этой части уже давали совет, но, повторюсь, regedit, равно как и многое другое, exe-шное, не работает. В данном случае мне потом надо будет переустановить просто ОС?
Свежие логи, на всякий случай включая тот от vba, прилагаю.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('glaide32');
StopService('kbiwkmlewiordq');
QuarantineFile('E:\WINDOWS\system32\userinit.exe','');
QuarantineFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe','');
QuarantineFile('E:\Documents and Settings\Administrator\reader_s.exe','');
QuarantineFile('E:\WINDOWS\system32\drivers\glaide32.sys','');
DeleteFile('E:\WINDOWS\system32\drivers\glaide32.sys');
DeleteFile('E:\Documents and Settings\Administrator\reader_s.exe');
DeleteFile('explorer.exe,E:\RECYCLER\S-1-5-21-5224971278-9653500171-060951774-6662\wnzip32.exe');
DeleteService('glaide32');
DeleteService('kbiwkmlewiordq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('glaide32');
BC_DeleteSvc('kbiwkmlewiordq');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Файл E:\WINDOWS\system32\userinit.exe замените на чистый: http://virusinfo.info/showthread.php?t=51654.
- Сделайте лог GMER.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Последний раз редактировалось Rene-gad; 29.08.2009 в 23:10.
Причина: спс. thyrex
Файл заменить не удалось - при копировании выскакивает табличка типа "нет доступа", с BartPE ничего не вышло (делаю всё чётко по указаниям на сайте - после проверки всех дисков появляется инфо, что найдено 0 подходящих источников), knoppix пробовала - или я чего-то не понимаю и не нашла, или в версии для cd (dvd использовать не могу) нужного нет (или, повторюсь, я просто что-то не так делаю). nLite - получается сделать только с инсталяционного диска, т.е. без SP 1+2.
Замена файлов с помощью LiveCD подразумевает, что у Вас есть оригинальная копия файла, который Вас просят заменить
В логах есть файл E:\WINDOWS\$NtServicePackUninstall$\ndis.sys
Проверьте его на virustotal
Ссылку на результат проверки сообщите
Последний раз редактировалось thyrex; 31.08.2009 в 01:31.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Лог gmer чист.
А вот проверенный файл возможно поврежден. Придется:
1. Или Вам самостоятельно добывать его для SP2;
2. Или надеяться, что кто-то из хэлперов Вам его предоставит;
3. Или установите SP3 (может потребоваться активация) + все новые заплатки
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Файл ndis.sys у меня есть - с чистого компьютера с той же системой и теми же SP 1 + 2, просто не удаётся его заменить - выдает табличку "нет доступа".
SP3 поставить не удалось - из-за этого файла как раз, выдаёт ошибку, что "файл открыт или используется другой программой" (c:/windows/system32/drivers/ndis.sys), хотя всё выключено.
Последний раз редактировалось freeze; 31.08.2009 в 13:38.
Переименовать тоже не удаётся - выдаёт ту же ошибку, что нет доступа, при попытке переименовать через total commander пишет: please remove the file protection, при опции as administrator тоже ничего не получается - просит логин (и есть administrator), пароль (пароля нет, просто кликаю ОК), после этого табличка access denied. (Заранее оговорюсь, что если что - пароль не поставить, в Панели управления хоть и есть значок Учетных записей, но ничего не открывается...)
Почему-то вскоре после отправки этого сообщения перестал работать интернет - помогло аж новое инсталирования драйверов.
Последний раз редактировалось freeze; 31.08.2009 в 14:26.
Причина: Добавлено
Удалите файл
c:/windows/system32/drivers/ndis.sys
через Отложенное удаление в AVZ. Переключатель режима удаления поставьте на Удаление фалов.
После перезагрузки запишите здоровый ndis.sys в папку c:/windows/system32/drivers и перезагрузите компьютер.
Не удаляется. Делаю, как Вы написали (только я ошиблась, когда адрес прописывала в прошлом сообщении - не С, а Е, на С ничего системного нет, всё на Е, посему адрес ниже исправлен), появляется текст: Delayed File Deleting E:/windows/system32/drivers/ndis.sys
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
>>>To delete the file E:/windows/system32/drivers/ndis.sys reboot is required
Перезагружаю компьютер, файл где был, там и есть.
Уважаемый(ая) freeze, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: