Буду рад любому совету!

**paskual** · 30.12.2006, 15:47

Здравствуйте! Подхватил сумасшедший вирус!

При включении компьютера Windows выдает сведения об ошибке приложения ppl.exe, затем выскакивает сторож Dr.Web и сообщает о заражении множества файлов, я выбираю функцию лечить, все проходит успешно, затем сканирую всю систему на диске C: нашел 1 вирус в папке SYSTEM VOLUME INFORMATION зарженный Win32.Dref я его удалил, а при дальнейшем сканировании сканер доходит до файла mssmp3.asi из папки SYSTEM VOLUME INFORMATION и виснет, я даже не могу посмотреть и снять процессы в запущенных прогаммах т.к. при вызове диспетчера задач выводится сообщение о том что он был отключен администратором! Помогите! Заранее огромное спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 30.12.2006, 16:29

AVZ - Файл - Выполнить скрипт:

Код:

begin
  SearchRootkit(true,true);
  SetAVZGuardStatus(true);
  QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
  QuarantineFile('C:\WINDOWS\system32\kernels88.exe','');
  QuarantineFile('C:\WINDOWS\system32\ppl.exe','');
  QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
  QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
  QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
  QuarantineFile('c:\windows\system32\svchost.exe','');
  DeleteFile('C:\WINDOWS\system32\taskdir.exe');
  DeleteFile('C:\WINDOWS\system32\kernels88.exe');
  DeleteFile('C:\WINDOWS\system32\ppl.exe');
  DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
  ExecuteSysClean;
  RebootWindows(true);
end.

Карантин пришлите в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7332

В HijackThis пофиксите:

Код:

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
O4 - HKLM\..\Run: [agent] C:\WINDOWS\system32\ppl.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [agent] C:\WINDOWS\system32\ppl.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl152bd.cab

Часть из них, наверное, AVZ убьёт.

AVZ - Файл - Восстановление системы:
Поставьте галочку в пункте 6 (Удаление всех Policies) и нажмите "Выполнить".

И пока всё.

**paskual** · 30.12.2006, 19:00

Спасибо Вам огромное! После изменений, потестил еще раз, вот логи.

Geser · 30.12.2006, 21:25

Код:

begin 
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); 
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); 
RebootWindows(true); 
end.

Выполнить скрипт. После перегрузки повторить все логи. Плюс прикрепить файл boot_clr.log который появится в директории АВЗ

**paskual** · 30.12.2006, 23:06

До запуска данного скрипта, запускал Dr.Web, он опять нашел 7 зараженных Win32.Dref файлов, дошел опять до файла mssmp3.asi и зависает,

т.е. винт работает, а статус процесса проверки не изменяется в течении 2 часов, помогает только закрытие программы через панель задач. После этого запустил Ваш скрипт, вот логи.

Geser · 30.12.2006, 23:09

boot_clr.log gde?

**paskual** · 30.12.2006, 23:11

Упс. Я извиняюсь. Вот.

Geser · 30.12.2006, 23:16

Странно.
АВЗ->AVZPM->Установить драйвер
Перегрузиться и повторить логи.

**paskual** · 30.12.2006, 23:46

Вот.

Geser · 31.12.2006, 00:20

Попробуй еще вот этот скрипт. Если не поможет, то я уж и не знаю

Логи потом повтори

Код:

begin 
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe'); 
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA'); 
BC_Activate;
RebootWindows(true); 
end.

**paskual** · 31.12.2006, 13:07

После данного скрипта Windows начал быстрее грузится

. Проверку системы Dr.Web не запускал. Вот логи.

Geser · 31.12.2006, 14:50

Гляньте кто-то удалились ли стримы, а то я не могу с работы

**paskual** · 31.12.2006, 15:01

Только что прогнал Dr.Web, опять доходит до адреса C:\Documents and Settings\Сережа\Local Settings\Temp\drw00003.tmp\msss/mssmp3.asi, и виснет, правда до этого нашел 20 зараженных Win32.Dref файлов. Я просто в шоке. Это наверное мне подарок к Новому Году

Geser · 31.12.2006, 15:04

Закрыть все программы, удалить содержимое C:\Documents and Settings\Сережа\Local Settings\Temp Что не удалится через отложенное удаление в АВЗ

**paskual** · 31.12.2006, 17:37

Удалил, все файлы, Dr.Web отсканировал систему без проблем. СПАСИБО!

Geser · 31.12.2006, 19:49

На этот раз похоже чисто.

**pig** · 01.01.2007, 07:26

Похоже, стримы удалились. AVZ их больше не находит.

**CyberHelper** · 22.02.2009, 01:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\kernels88.exe - Email-Worm.Win32.Luder.a (DrWEB: Trojan.DownLoader.16591)
2. c:\\windows\\system32\\ppl.exe - Email-Worm.Win32.Luder.a (DrWEB: Win32.Dref)
3. c:\\windows\\system32\\taskdir.exe - Email-Worm.Win32.Luder.a (DrWEB: Trojan.Spambot)

Буду рад любому совету! (заявка № 7332)

Опции темы

Буду рад любому совету!

Итог лечения

Похожие темы

СМС не отправлю все равно. Но лечить буду.

Буду лить 2

Буду лечить

Проблема, буду рад помощи

Ваши права в разделе