-
Junior Member
- Вес репутации
- 58
Много заразы и блокирование сайтов
Добрый день!
Изначальная проблема: комп не мог открыть некоторые сайты в инете. Проверка показала, что он не открывает и главные антивирусные сайты.
XP Pro Rus SP3, установлен Symantec EP, который утверждает, что все отлично (ну, библиотеки обновлены и функционирование безоблачное).
Антивирус поймал неделю назад TrojanGen и как бы поместил его в карантин.
1. Сканирование DrWeb LiveCD сходу не пошло: диск C не монтировался. После выполнения chkdisk диск начал монтироваться и сканирование выявило пару угроз в кэшах интернета и десятка три разных троянов в Windows\System32. Однако их удаление не решило первоначальную проблему.
2. Файл hosts, очевидно, переписывался вирусом, чтобы завернуть ряд антивирусных ссылок на 127.0.0.1, но выглядит уже каким-то обрубком попорченным. Правка не помогла.
3. Сканироваение в безопасной моде Кашперским нашло еще одну заразу в кэшах интернета, и только
4. Результаты сканирования avz и hijack, как сказано в правилах, прилагаются.
Процедура выполнена практически полностью, но не прошло обновление базы. AVZ выкачивал буквально вчера, но база там оказалась весьма старая
Последний раз редактировалось vgo; 25.08.2010 в 20:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
ExecuteFile('route.exe', '/f', 1, 10000, false);
ExecuteRepair(13);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\DOCUME~1\MALYSH~1.PAV\LOCALS~1\Temp\donE2.tmp','');
DeleteFile('C:\DOCUME~1\MALYSH~1.PAV\LOCALS~1\Temp\donE2.tmp');
QuarantineFile('\\?\globalroot\systemroot\system32\jCgXLjh.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\jCgXLjh.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\KuWUXhc.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\KuWUXhc.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\36K2x41.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\36K2x41.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pedwieut');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\pedwieut\Parameters');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
Последний раз редактировалось AndreyKa; 02.06.2010 в 13:12.
-
-
Junior Member
- Вес репутации
- 58
Спасибо, сайты стали открываться.
Карантин, к сожалению, пуст, присылать нечего.
Последний раз редактировалось vgo; 25.08.2010 в 20:41.
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\znoqhss.dll','');
DeleteFile('C:\WINDOWS\system32\znoqhss.dll');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\pedwieut');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 58
К сожалению, карантин опять пуст. В процессе выполнения скрипта проскакивают красные строчки, что карантин не получается, в том числе и при прямом чтении.
На мой взгляд, это говорит, что зараза еще сидит. Может, повторить сканирование?
Хотя, может быть, помещению файлов в карантин мешает SEP, который довольно сложно деактивировать.
После выполнения скрипта я заходил из-под LiveCd, проверил файлы, которые скрипт должен был удалить и поместить в карантин. Этих файлов на диске нет, удаление эффективно.
Устранением уязвимостей сейчас займусь.
В следующий раз интересующие Вас файлы постараюсь переместить в карантин другими средствами (из-под того же LiveCD)
-
На мой взгляд, все трояны уже были удалены антивирусом.
Проблема решена?
-
-
Junior Member
- Вес репутации
- 58
Да, большое спасибо.
Впереди еще аналогично заболевший комп, буду внимательнее смотреть, что там с удаляемыми файлами.