-
Junior Member
- Вес репутации
- 64
Буду рад любому совету!
Здравствуйте! Подхватил сумасшедший вирус! При включении компьютера Windows выдает сведения об ошибке приложения ppl.exe, затем выскакивает сторож Dr.Web и сообщает о заражении множества файлов, я выбираю функцию лечить, все проходит успешно, затем сканирую всю систему на диске C: нашел 1 вирус в папке SYSTEM VOLUME INFORMATION зарженный Win32.Dref я его удалил, а при дальнейшем сканировании сканер доходит до файла mssmp3.asi из папки SYSTEM VOLUME INFORMATION и виснет, я даже не могу посмотреть и снять процессы в запущенных прогаммах т.к. при вызове диспетчера задач выводится сообщение о том что он был отключен администратором! Помогите! Заранее огромное спасибо!
Последний раз редактировалось paskual; 30.12.2006 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ - Файл - Выполнить скрипт:
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
QuarantineFile('C:\WINDOWS\system32\kernels88.exe','');
QuarantineFile('C:\WINDOWS\system32\ppl.exe','');
QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\WINDOWS\system32\kernels88.exe');
DeleteFile('C:\WINDOWS\system32\ppl.exe');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Карантин пришлите в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7332
В HijackThis пофиксите:
Код:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
O4 - HKLM\..\Run: [agent] C:\WINDOWS\system32\ppl.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [agent] C:\WINDOWS\system32\ppl.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl152bd.cab
Часть из них, наверное, AVZ убьёт.
AVZ - Файл - Восстановление системы:
Поставьте галочку в пункте 6 (Удаление всех Policies) и нажмите "Выполнить".
И пока всё.
-
-
Junior Member
- Вес репутации
- 64
Спасибо Вам огромное! После изменений, потестил еще раз, вот логи.
Последний раз редактировалось paskual; 30.12.2006 в 20:01.
-
Код:
begin
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
RebootWindows(true);
end.
Выполнить скрипт. После перегрузки повторить все логи. Плюс прикрепить файл boot_clr.log который появится в директории АВЗ
-
-
Junior Member
- Вес репутации
- 64
До запуска данного скрипта, запускал Dr.Web, он опять нашел 7 зараженных Win32.Dref файлов, дошел опять до файла mssmp3.asi и зависает, т.е. винт работает, а статус процесса проверки не изменяется в течении 2 часов, помогает только закрытие программы через панель задач. После этого запустил Ваш скрипт, вот логи.
-
-
-
Junior Member
- Вес репутации
- 64
Упс. Я извиняюсь. Вот.
-
Странно.
АВЗ->AVZPM->Установить драйвер
Перегрузиться и повторить логи.
-
-
Junior Member
- Вес репутации
- 64
-
Попробуй еще вот этот скрипт. Если не поможет, то я уж и не знаю
Логи потом повтори
Код:
begin
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Geser; 31.12.2006 в 11:50.
-
-
Junior Member
- Вес репутации
- 64
После данного скрипта Windows начал быстрее грузится . Проверку системы Dr.Web не запускал. Вот логи.
-
Гляньте кто-то удалились ли стримы, а то я не могу с работы
-
-
Junior Member
- Вес репутации
- 64
Только что прогнал Dr.Web, опять доходит до адреса C:\Documents and Settings\Сережа\Local Settings\Temp\drw00003.tmp\msss/mssmp3.asi, и виснет, правда до этого нашел 20 зараженных Win32.Dref файлов. Я просто в шоке. Это наверное мне подарок к Новому Году
-
Закрыть все программы, удалить содержимое C:\Documents and Settings\Сережа\Local Settings\Temp Что не удалится через отложенное удаление в АВЗ
-
-
Junior Member
- Вес репутации
- 64
Удалил, все файлы, Dr.Web отсканировал систему без проблем. СПАСИБО!
-
На этот раз похоже чисто.
-
-
Похоже, стримы удалились. AVZ их больше не находит.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\kernels88.exe - Email-Worm.Win32.Luder.a (DrWEB: Trojan.DownLoader.16591)
- c:\\windows\\system32\\ppl.exe - Email-Worm.Win32.Luder.a (DrWEB: Win32.Dref)
- c:\\windows\\system32\\taskdir.exe - Email-Worm.Win32.Luder.a (DrWEB: Trojan.Spambot)
-