-
Junior Member
- Вес репутации
- 64
Не могу вычистить комп от заразы
Проблема в следующем.
Обратил внимание, что комп начал сильно тормозить, решил проверить его с помощью cureit. Он выдал заражение каким-то непонятным Downloader.14272, Downloader.15209 и Trojan.PWS.GoldSpy. Проверил всю систему и вычистил все, что нашел. Тем не менее на второй день опять появилась эта зараза. Занимаюсь чисткой регулярно в течение 10 дней, но успехов никаких. Позавчера поставил Norton Antivirus, обновил базы вирусов, прочистил весь комп. Вчера нужно было на 10 минут отключить Norton'а. Именно в эти 10 минут опять произошло заражение с теми же симптомами.
Он оставляет следующие следы:
1. В System32 добавляет файл msvcrl.dll и изменяет sfc_os.dll
2. Прописывает внутри Iexplorer ссылку на msvcrl.dll, не изменяя размер файлаю
3. Оставляет следы в Local Settings\Temp, Local Settings\Application Data, Local Settings\Temporary Internet Files\Content.IE5
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ - Файл - Выполнить скрипт:
Код:
begin
QuarantineFile('c:\program files\ic media corp\icm532\launchpad.exe','');
QuarantineFile('C:\WINDOWS\system32\UAService.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrl.dll','');
end.
Карантин пришлите в соответствии с Приложением 2, начина с пункта 5.
Поищите у себя неиспорченный экземпляр sfc_os.dll (возможно, сохранился в dllcache). Если не найдётся - возьмите с другой машины, где система аналогичная. iexplore.exe, насколько я понимаю, надо искать снаружи или на дистрибутивном диске.
-
-
Junior Member
- Вес репутации
- 64
sfc_os.dll я уже несколько раз сам восстанавливал и Iexplorer тоже. Мозоли натер.
Файлы карантина выслал.
-
C:\WINDOWS\system32\msvcrl.dll - Trojan.PWS.GoldSpy
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msvcrl.dll');
ExecuteSysClean;
RebootWindows(True);
end.
-
-
Junior Member
- Вес репутации
- 64
Все сделал, но мало надеюсь на успех лечения, так как я подобным образом с помощью cureit и AVZ комп уже раз 20 чистил.
Подожду повторного появления заразы.
-
Нортон - плохой выбор. Стоит поставить нормальный антивирус и стенку. А кроме того проверить что все записи с правами админа имеют не тривиальные пароли.
-
-
Junior Member
- Вес репутации
- 64
Сообщение от
Geser
Стоит поставить нормальный антивирус и стенку.
Какой антивирус нормальный? Касперского терпеть не могу, так как он страшно тормозит комп.
И еще вопрос, какая стенка лучше всего себя зарекомендовала и где ее скачать?
-
Антивирус НОД, ДрВеб, Битдефендер
Стенку любую. ХОтя я бы посоветовал КИС6. Не тормозит и всё что нужно внутри.
-
-
Junior Member
- Вес репутации
- 64
Похоже, что проблема решена. Обратил внимание на сообщение на первой странице о массовом заражении серверов ValueHost. Дело в том, что там находится мой сайт, и мне приходится заглядывать на него через день. Сразу после прочтения этого сообщения заглянул на свой сайт и моментально был заражен той же самой гадостью. Прямо на моих глазах в System32 появились файлы msvcrl.dll и sfc_os.dll. Затем был изменен файл Iexplorer.exe. Восстановил их и повторно зашел на сайт - все повторилось.
Пришлось подготовить и разместить простенький idndex.htm, в котором нет ни графики, ни вызовов никаких скриптов, и сообщить всем посетителям сайта за прошедший месяц, чтобы они проверились на заразу.
Интересно то, что первую атаку на сайт я обнаружил еще 5 ноября, когда индексный файл вдруг обнулился. Сразу сообщил в ValueHost, но они отделались простой отговоркой, что возможно это была атака. Я об этом и сам без их помощи догадался. Затем мне сообщили посетители сайта, что по-видимому изменены некоторые html-файлы, так как грузится всякая хрень. Вновь зашел по ftp на сайт и отыскал на нем все измененные html-файлы и восстановил их. Опять сообщил об этом в ValueHost, но они опять отделались отговоркой о хакерской атаке и просто дали мне логи. Теперь вот оказывается, что дело гораздо серьезнее. За прошедший месяц только на мой сайт заглянуло около 6000 человек. Полагаю, что многие из них подцепили заразу.
Я за четыре года уже намучился с этим ValueHost и со следующей осени буду искать других.
-
А что бы не хватать всякую дрянь через браузер есть моя старая статья http://virusinfo.info/showthread.php?t=2852 Жаль мало кто использует. Работает у меня несколько лет, и в фирме нашей админы то же стелали на всех компах по моему совету. Теперь почти нет заражений.
-