Показано с 1 по 7 из 7.

Остатки от вируса Sality (Ring0) (заявка № 53521)

  1. #1
    Junior Member Репутация
    Регистрация
    05.12.2008
    Сообщений
    42
    Вес репутации
    34

    Thumbs up Остатки от вируса Sality (Ring0)

    Вообщем был на машине вирус Sality, вроде бы модификации NAT, но точно не помню (тот который блокирует диспетчер задач и редактирование реестра, ну и безопасны режим само собой).
    Так вот после лечения вроде бы всё нормально, но перечитывая ветки про этого падонка вычитал что он оставляет код в Ring0. Решил проверить (AVZ -> вкладка сервис>модули пространства ядра), и действительно висит с именем .sys.
    Внимание вопрос: как его оттуда выковырять, а то спиться неспокойно?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL (file missing)
    O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dll (file missing)
    O2 - BHO: MyCentria Internet Mate v2.4 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=53521).
    Установите правильную системную дату.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    05.12.2008
    Сообщений
    42
    Вес репутации
    34
    Вообщем я накасячил немного, флешка была в режиме чтения и файлы в карантин не смогли сохраниться. Вы уж извините.

    Всёостальное прикладываю.

    .sys сидит там же.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Сканирование запущено в 01.01.2003 17:49:15
    Системную дату исправляли?
    Если комп ее не держит - меняйте батарейку на мат. плате.

    В логах ничего подозрительного больше нет.
    Наличие безымянного модуля .sys не свидетельствует о заражении.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    05.12.2008
    Сообщений
    42
    Вес репутации
    34
    Bratez, да, батарейка дохлая, поменяю.

    А до вашего скрипта было что-то подозрительное? Так для справки.

    И ещё, те скрипты, которые вы писали выше, можно использовать в аналогичных случаях?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Подозрительны (а точнее явно вредоносны) были те два файла, что упоминаются в скрипте. Хотя возможно, это были только ссылки в реестре, а файлы когда-то раньше были удалены. Поскольку карантина нет, этого мы уже не узнаем.
    Скрипт делается индивидуально на основании логов и предназначен только для данного конкретного случая.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    05.12.2008
    Сообщений
    42
    Вес репутации
    34
    Bratez, спасибо. Излечен.

  • Уважаемый(ая) Longmen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Остатки вируса
      От _Денис_ в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.03.2011, 06:30
    2. Подозрение на остатки sality.aa
      От akalibr в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.07.2010, 12:09
    3. Остатки Sality
      От OLEGGih в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.12.2008, 15:22
    4. Остатки W32.Sality
      От Kreps в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 10.11.2008, 22:19
    5. sality.aa остатки в системе, заражены .exe
      От xlukin в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.09.2008, 12:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01233 seconds with 17 queries