-
Junior Member
- Вес репутации
- 55
Очередная жертва вируса iLite Net Accelerator
На работе поймали эту гадость. При запуске ругается на ошибки в alg.exe и wuauclt.exe. Убивается NOD32, выскакивает окно вируса. Иногда если есть несколько секунд, то можно зайти в Мой компьютер. В защищенном режиме все также.
Почитал несколько вариантов лечения отсюда.
Скачал вчера свежий LiveCD от DrWeb. Прогнал полностью диски. Он ничего совершенно не нашел. Из под него записал на второй логический диск свежий AVZ.
Удалил из под LiveCD все файлы из всех аккаунтов из папок Temp, из C:\Temp.
Удалил все System Volume.
Удалил все Temporary Internet Files.
Удалил все RECYCLER.
Запускаю в защищенном режиме, при попытке войти в папку AVZ комп идет на перезагрузку.
Иногда в защищенном режиме выскакиевает ошибка svchost.exe и появляется окно таймера выключения компьютера как при старом Blaster.
Переименовал папку AVZ в GAMES, а сам файл в куку.pif )
В папку теперь войти могу, но при запуске файла тут же выскакивает окно вируса и AVZ не запускается.
Сейчас попробую загрузиться с Windows LiveCD и запустить из под него AVPTool вчерашнюю вечернюю.
Неужели до сих пор не найдено кардинального лекарства?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 55
Не пробовал.
Сейчас попробую. Пока еще не запустил под WinLiveCD проверку.
Запускать его под WinLiveCD есть смысл или только из под защищенного режима?
-
Junior Member
- Вес репутации
- 55
Переименовал на всяк пожарный файл Hijack в kuku.pif Записал его на зараженную машину из под WinLiveCD (боюсь совать так просто флэшку на эту машину).
Зашел в защищенном режиме, запустил, запустил "Do a system scan and save a logfile". Просканировалось. затем спросилось что не найден файл log и предложило его создать. После ответа ДА, комп ушел на выключение.
Запустился под WinLiveCD, никакого лог файла я не обнаружил нигде.
Программу запускал с корня диска D.
Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.
Рабочие диски C и D. Остальное от флэшки (Е) и от LiveCD (B, X).
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 55
Запустил из под WinLiveCD установку AVPTool. По умолчанию он ставилс на диск B т.е. который создал WinLiveCD. При установке было три раза окошко "Установка не выполнена", в самом начале установки, но при ОК установка продолжалась.
Не стал запускать его на диске B. Сразу же удалил и заново поставил на физический диск D в корень. Ошибки при установке были также три раза.
Сейчас запустил проверку AVPTool из под все того WinLiveCD. О результате отпишусь.
-
Сообщение от
Lqaz
Запустил Hijack из под WinLiveCD. Записал лог файл. Выкладываю сюда.
Это лог самой Live, он не несет никакой информации о зараженной системе.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Ну я так и подумал.
Ох и хитрая же эта зараза. Силы бы вирусописателя да в мирное русло....
Добавлено через 30 минут
AVPTool нашел 898 зараженных обьектов.-
Trojan-Dropper.Win32.Agent.bjrl в кэше Нода
Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe
Сначала просканировал компьютер без лечения, потом запустил лечение и удаление на папки с инфекцией.
Сейчас он их удаляет, но на каждую библиотеку пишел-"Удалено и сделана резервная копия". Куда он кладет резерную копию? Как бы она совсем мне не нужна, да еще и завирусованная....)
Последний раз редактировалось Lqaz; 19.12.2009 в 14:57.
Причина: Добавлено
-
Сообщение от
Lqaz
Trojan-Downloader.Win32.Piker.adu в библиотеках C:\Windows\System32\
Trojan-Banker.Win32.Bancos.kdj в C:\Windows\system32\sdra64.exe
Ну тогда надо полагать баннера уже не будет, можете запускать свою систему и делать логи, дочистим мусор.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
В Защищенном режиме выполнил скрипты.
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 55
Hijack это D:\kuku.pif
AVZ это d:\games\kuku.pif
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\gb.dll
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gb.dll','');
DeleteFile('C:\WINDOWS\system32\gb.dll');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64311).
Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Запустился в Обычном режиме.
Запустил HijackThis, выполнил проверку, сохранил лог до фикса, выполнил фикс, сохранил лог.
Запустил AVZ, выполнил скрипт.
Перегрузился комп.
Выполнил из Стандартных скриптов 3, перегрузил, и 2.
"Сделайте новые логи (только п.2 и 3 раздела Диагностика, в нормальном режиме)."
Что такое раздел Диагностика-не нашел.
Логи прилагаю.
Есть небольшой карантин.
Выкладываю также и его.
Hijack это D:\kuku.pif
AVZ это d:\games\kuku.pif
Последний раз редактировалось Lqaz; 25.04.2010 в 13:14.
-
Junior Member
- Вес репутации
- 55
Не забыли про меня? Понимаю конечно, что у вас большое количество таких несчастных...)
-
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
-
-
Junior Member
- Вес репутации
- 55
Спасибо!
Добавлено через 19 минут
А какой нибудь антивирус уже научился ловить и лечить эту гадость полностью?
Последний раз редактировалось Lqaz; 19.12.2009 в 21:45.
Причина: Добавлено
-
Trojan-Banker.Win32.Bancos.kdj - этот любит воровать пароли. Их лучше поменять, если храните в системе.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-