-
Junior Member
- Вес репутации
- 54
Последстаия действий вируса
На машину проник вирус через флешку (autorun.inf на оной сработал), сразу же отключил реестр, диспечер устройств. Переустановил систему. По-видимому, после запуска червь просканил локальные диски и заразил исполняемые файлы, так как после запуска нескольких инсталляшек с локального диска снова обнаружились последствия вируса: отключен диспечер задач, редактор реестра, TweakUI с панели управления. Кроме этого всего происходит блокирование к офф сайтам антивирусов, не запускается касперский, avz(а если и запускался, то через секунду отключался), иногда в процессах появлялось два исполняемых файла(каждый раз названия разные), родом из Windows\Temp, в автозагрузке был файл на запуск is-823(или что-то подобное). Стандартный avz запускаться не хотел, здесь на форуме нашел в подписи у кого-то модифицированный вариант avz (game.pif), при запуске установщика Virus Removal Tool (setup_7.0.0.290_01.04.2009_21-50) система ушла в БСОД, безопасный режим не работает. В закачках торрента размеры исполняемых файлов изменились и перекачивались.
Сейчас лишних процессов не наблюдается(просматриваю Process Explorer), хочется вернуть обратно диспечер, реестр и возможность запустить антивирус.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('abp470n5');
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\regsvr32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rrhhkn.sys','');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe','');
QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
QuarantineFile('c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif','');
DeleteFile('C:\WINDOWS\system32\drivers\rrhhkn.sys');
DeleteFile('C:\WINDOWS\system32\regsvr32.exe');
DelCLSID('2C7339CF-2B09-4501-B3F3-F3508C9228ED');
DelCLSID('89820200-ECBD-11cf-8B85-00AA005B4340');
DeleteService('abp470n5');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил. Обновите базы AVZ. Повторите логи.
-
-
Junior Member
- Вес репутации
- 54
После выполнения скрипта в окне лога писалась о снятии блокировки с диспечера и реестра. После выполнения перезагрузки изменений не видно.
Идентификатор файла карантина 090920_142740_virus_4ab6039c61d75.zip
-
Junior Member
- Вес репутации
- 54
Кстати, когда KIS 8 еще мог говорить, ругался на исполняемые файлы. В них были замечены экземпляры разновидности червя Worm.Sality.
-
А что это за файл c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif ? АВЗ, которым Вы делали логи? Выполните скрипт
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('C:\WINDOWS\system32\wuapi.dll.wusetup.1639687.bak','');
end
Загрузите карантин согласно приложению №3 правил.
Добавлено через 7 минут
Выполните вот это http://support.kaspersky.ru/faq/?qid=208636131 и потом давайте свежие логи.
Последний раз редактировалось Макcим; 20.09.2009 в 15:52.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 54
c:\tmp\Антивирусный набор\avz advanced\avz advanced.pif да, этой версией и работаю. Стандартная версия после запуска или висит в списке процессов, или сразу же закрывается после старта.
по ссылке http://support.kaspersky.ru/faq/?qid=208636131пройти не смогу, так как писал ранее, блокируется доступ к сайтам *kaspersky.*
Если возможно, процитируйте здесь содержимое ссылки
-
Вот Вам содержимое ссылки вместе с утилитами http://www.filehoster.ru/files/dl9060 После того как всё выполните скачайте заново AVZ, обновите базы и сделайте свежие логи.
-
-
Junior Member
- Вес репутации
- 54
SalityKiller не помог, да и работа его была несколько странной: завершал сканирование диска преждевременно, а через время вообще не производил никаких действий. Так же ранее пробовал KKiller продукт от Kaspersky Lab но ничего не находил.
Как один из вариантов придется переустановить систему и попробовать поставить касперского, или установить висту и под ней чистить от зловреда. Под ней хоть КИС 8 работает.
-
Возможность записать LiveCD с антивирусом у вас есть? Если да, выложим .iso образ диска на файлообменник.
-
-
Junior Member
- Вес репутации
- 54
Установил Висту. Из софта поставил только Касперского 8 версии и прогнал поиск по дискам. Все исполняемые файлы были инфицированы виросом типа Virus.Win32.Sality.aa. Лечение дало результаты, исполняемые файлы запускаются без видимых проблем. Иногда при откоытии папки диска появляется окно с предупреждением о наличии вируса в исполняемом файле и сразуже сообщение о его лечении. Полагаю, ветку можно закрывать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\java\jre6\bin\jqs.exe - Virus.Win32.Sality.aa ( DrWEB: Win32.Sector.17, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )
-