Добрый день!
Господа, помогите "полному пользователю" (если можно, то пошагово) победить зловредных зверушек, заведшихся на компе.
Суть проблемы: Др.Веб 5.0 при скане определяет кучку из 20.000 файлов и определяет их, как зараженных BuckDoor.Siggen.917. При попытке вылечить/удалить - пишет, что вылечить невозможно, удалено. Но по факту этого не происходит, при повторной проверке файлы (расширение exe и scr) выявляются вновь. Группируются они в основном в двух папках (Recycle System Volume Information) на каждом из 3-х диcков. В папках они не видны, хотя подключена функиция показывать скрытые файлы/папки, но при просмотре "свойства" показывается из объем и количество. Попытка удалить папки целиком не удается, пишет, что выполняется действие или нет доступа. Зверушки имеются также в папке Windows.
При проверке по условиям даннного форума avz нашел также Trojan-Downloader.Win32.Agent.zje. Написал, что удалил.
Помогите, люди добрые, избавиться от заразы и не переустанавливать Винды!!!
Заранее спасибо!
SW
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteRepair(14);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\ulr.exe','');
DeleteFile('C:\ulr.exe');
QuarantineFile('E:\Сканер\utkqn.exe','');
QuarantineFile('E:\Отпуск_2008\Италия\pfhdagb.exe','');
QuarantineFile('E:\Отпуск 2009\билеты\sacs.exe','');
QuarantineFile('E:\Заяц_М\uy.exe','');
QuarantineFile('E:\Архивы для графики\ti.exe','');
QuarantineFile('C:\ScanPanel\TMPText\dauyv.exe','');
QuarantineFile('C:\Intel\Logs\uurnkfx.exe','');
QuarantineFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe','');
QuarantineFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe','');
DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
DeleteFile('C:\Intel\Logs\uurnkfx.exe');
DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\PrintFilterPipelineSvc','EventMessageFile');
DeleteFile('E:\Архивы для графики\ti.exe');
DeleteFile('E:\Заяц_М\uy.exe');
DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
DeleteFile('E:\Сканер\utkqn.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Диски открыты для доступа по сети?
Пароли на учетные записи пользователей с правами администратора надежные стоят?
Добрый день!
Диски открыты для доступа по сети?
- Ситуация такая: есть локальная сеть - компьютер+ноутбук. Для нее диски открыты.
Вдобавок к этому комп подсоединен через роутер к локальной сети провайдера. На роутере пароль.
Пароли на учетные записи пользователей с правами администратора надежные стоят?
- На компьютере 2 пользователя - общий "юзер" без пароля и запароленный основной пользователь. Сегодня, запустив в безопасном режиме, узнал, что есть еще адимнистратор без пароля.
Пришлите файлы из карантина.
-Если я правильно понял, то в карантине файлов нет
Др.Веб 5.0 при скане определяет кучку из 20.000 файлов
А SpiderGuard в процессе работе ничего не ловит?
Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DeleteFile('C:\Documents and Settings\Асти\NetHood\корфу под запись на Asty\vxpm.exe');
DeleteFile('C:\Intel\Logs\uurnkfx.exe');
DeleteFile('C:\Program Files\ABBYY Lingvo x3\TutorDictionaries\hgj.exe');
DeleteFile('C:\ScanPanel\TMPText\dauyv.exe');
DeleteFile('C:\ulr.exe');
DeleteFile('C:\ulrnfx.exe');
DeleteFile('E:\Архивы для графики\ti.exe');
DeleteFile('E:\Заяц_М\uy.exe');
DeleteFile('E:\Отпуск 2009\билеты\sacs.exe');
DeleteFile('E:\Отпуск_2008\Италия\pfhdagb.exe');
DeleteFile('E:\Сканер\utkqn.exe');
DeleteFile('c:\Program Files\Bonjour\mDNSResponder.exe');
ExecuteSysClean;
end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
А SpiderGuard в процессе работе ничего не ловит?
Либо ноутбук заражен этой гадостью, либо роутер не правильно настроен.
Ноут вполне может быть заражен, но он не работал в системе с компом уже месяца три. Полная клиническая кратина следующая:
В авусте подцепил гадость, название уже не помню - самоплодящиеся файлы расширением exe и scr, все объемом около 450кб. Названия имели вид a an anc ancr и т.д.. Плодились во всех папках. Ни ДрВеб, ни Нод32 не определяли эти файлы как вирус. При помощи Anvirrus нашел и остановил процесс воспроизведения и стер (большинство?) файлов вручную. Проверка в сентябре новым ДрВебом дала ОК.
Дня два назад комп в заснужшем состоянии начал верещать. СпайдерГайд показал, что файл, такого же вида как и ранее встречавшиеся, заражен гадостью, указанной в заголовке. При тотальном сканировании выясгнилось, что файлом много, причем файлов ранеевстречавшегося вида - меньшенство, а большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт. ДрВеб определяет их как вирус, пишет, что удалил, но на деле этого не происходит.
Новый лог в аттаче.
SW
ЗЫ. Еще один ламерский вопрос - при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все?
большинство - вида а00хххх, где хххх - возрастающие порадковые номера. Расширения также exe и scr, и кучкуются они в нескольких папках, доступ к которым закрыт.
Так называются файлы - копии, которые хранит служба восстановления системы.
Раз их было много, значит заражение произошло давно и детектироваться файлы начали после обновления баз антивируса.
Сообщение от sw(ws)
при сканировании АВЗ надо типы сканирования файлов оставлять по умолчанию (потенциально опасные) или менять на все?
Делать надо по инструкции - там этого нет.
В логе чисто. Когда был последний сигнал от антивируса о BackDoor.Siggen.917?
Последний сигнал от СпайдерГарда был вчера, когда боролся самостоятельно. Сегодня не было. Сейчас проверил папки, где были а00 - чисто. В папке ДрВеб/Карантин - 7200 файлов, помеченных как зараженных БэкДор. При попытке в ДрВэбе выделить все-удалить, ДрВэб подвисает и не отвечает. Как можно удалить эти файлы из карантина, а то их более 3гб?
Еще раз Вам огромное спасибо за помощь!!!
С уважением,
SW
О, мудрый Ка, глупый бандерлог сделал что-то не так. После предложенного Вами лечения папки очистились, но на следующий день ситуация повторилась: когда компьютер засыпает, спустя какое-то время СпайдерГард выдает тревогу, пишет, что в С:\\System Volume Information\_restore... обнаружены файлы a00...порядковый номер scr. или exe., зараженный BuckDoor.Siggen.917. Определяет сразу кучку файлов. Делает вид, что уничтожает. При тотальной проверке в этой же папке Др.Веб в этой папке также обнаружил кучку таких же файлов и сделал вид, что удалил их. Но мне кажется, что это удаление условное.
О, мудрый Ка, не дай пропасть в неравной борьбе с вирусом!
Заранее спасибо!
SW
Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии: Обновление безопасности IE или Windows XP
Начнется загрузка. После того как она закончится установите загруженные обновления.
Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии: Обновление безопасности IE или Windows XP
Начнется загрузка. После того как она закончится установите загруженные обновления.
Слаб. Выполнил до "уведомлять, но не загружать", но список обновлений не загружается
Если нет лицензии:
Панель управления - Автоматическое обновление - Уведомлять, но не загружать.
Когда список обновлений загрузится, выберите для загрузки те, которые имеют в названии: Обновление безопасности IE или Windows XP
Начнется загрузка. После того как она закончится установите загруженные обновления.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: