Набор вирусов
Добрый вечер!
Прошу помощи.
Симптомы: в IE8 пункт меню (правой кнопки мыши) 'сохранить объект как' всегда disabled. Торможение во время выключения компьютера.
AVPTool в Safe Mode обнаружил и удалил Exploit.Java.Agent.ai, Trojan-Downloader.Java.Agent.ee, Trojan-Downloader.Java.Agent.ef: ...\Application Data\Sun\Java\Deployment\cache\6.0\...
Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Дайте угадаю - был баннер?Давайте бить скотов -
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
и Выполните скрипт в АВЗ -Код:O4 - HKCU\..\Run: [Shell] C:\Documents and Settings\All Users\systems.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\thumbs.db',''); QuarantineFile('C:\WINDOWS\system32\x264vfw.dll',''); QuarantineFile('C:\WINDOWS\system32\blphc11sj0ej47.scr',''); QuarantineFile('C:\Documents and Settings\All Users\systems.exe',''); DeleteFile('C:\Documents and Settings\All Users\systems.exe'); DelAutorunByFileName('C:\Documents and Settings\All Users\systems.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой Прислать запрошенный карантин над первым сообщением этой темы)
Повторите логи.
Последний раз редактировалось olejah; 06.07.2010 в 08:43.
Спасибо!
Да, в мае было что-то вроде баннера, но без блокировки компьютера. Пролечил антивирусами, и все видимые симптомы исчезли - думал, что избавился полностью.
Карантин загрузил, логи сделаю вечером.
На всякий случай параметры карантина, который загрузил утром:
Файл сохранён как 100706_091906_virus_4c32bcca577bb.zip
Размер файла 287894
MD5 0466000fdc048963bd85a47cd2b9efe0
Присоединяю логи.
Спасибо!
Ваш карантин пришёл, вот этот товарищ - C:\WINDOWS\system32\blphc11sj0ej47.scr идти в карантин отказался. Варианты - поищите его через АВЗ - Сервис - Поиск файлов на диске, когда найдёт отметьте галочкой и нажмите "Копировать отмеченные файлы в карантин". Если он и так не пойдёт, можно попробовать ручками запаковать с паролем virus и опять же, прислать как карантин, и ещё - скажите мне, имеете ли Вы понятие о том, что это вообще за файл или Вам не известно откуда он там взялся и для чего он. Подозрительный он больно.
AVZ файл с таким именем на диске C не нашел. Поиск в проводнике тоже. Не представляю, что это за файл. Возможно, что он был удален руками когда-то давно (точно не в последнее время)? Что еще могу сделать?
Давайте тогда так -
Выполните скрипт в АВЗ -
Файл avz.log из папки AVZ прикрепите к сообщению. Логи повторите, как сейчас дела обстоят с проблемами?Код:begin If FileExists('C:\WINDOWS\system32\blphc11sj0ej47.scr') then begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\blphc11sj0ej47.scr',''); DeleteFile('C:\WINDOWS\system32\blphc11sj0ej47.scr'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); AddToLog('File Was Found') end else AddToLog('File Was Not Found') ; SaveLog(GetAVZDirectory + 'avz.log'); end.
AVZ.LOG - ничего не найдено..
Логи присоединил. Пункт меню в IE 'сохранить объект как..' по-прежнему disabled.
Следующий этап -
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('wkkpecu.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys',''); DeleteFile('wkkpecu.sys'); DeleteFile('C:\thumbs.db'); DeleteService('wkkpecu'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Если я Вас не замучал, то повторите логи
Конечно, не замучали - наоборот, очень благодарен!
Скрипты выполнил. Карантин загрузил.
Файл сохранён как100707_202939_quarantine_4c34ab73a8338.zipРазмер файла22385MD525533a663b8da430ca245c4898e23959
Сейчас сделаю логи.
Прсоединяю логи. Симптом (disabled пункт меню в IE) по-прежнему присутствует.
Жду новых рекомендаций. Спасибо!
Я не обнаружил в логах вредоносных объектов, но давайте подождём, что скажут другие хелперы.Это уже вряд ли от наличия зловредов зависит.Симптом (disabled пункт меню в IE) по-прежнему присутствует.
Внимание! Неожиданное продолжение: скачивал апдейты и обновления безопасности и получил новое заражение (системное сообщение о выполнении java скрипта, после чего появились новые exe файлы в /system32/, новая копия svchost.exe, блокировался доступ к virusinfi.info и т.д.) Работающий SpiderGuard ничего не выдал. Пролечил сканером Drweb и в безопасном режиме AVPTool. Найдены вирусы.
Присоединяю новые логи.
Вышла новая версия АВЗ, скачайте, обновите базы и сделайте логи ей - z-oleg.com
Пока можно так, чтобы полегчало -
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(20); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Загрузил новую версию и обновил базы AVZ (на другом компьютере). Выполнил оба скрипта - прислал карантин:
Файл сохранён как100714_212128_quarantine_4c3df21831f34.zip
Размер файла
33484
MD5
c9e2027763c4dfa56bcdbbad98ae113c
А логи?
Логи только что подоспели - первый больно долго выполняется. Спасибо!
Переделал логи еще раз, поскольку в открытом IE вновь произошло выполнение какого-то java скрипта, самопроизвольно открылся media player и т.п. Немедленно отключил сеть, перегрузился и пролечил AVPTool (найден 1 вирус).
Дата svchost.exe в папке system32 по-прежнему 13.07.2010.
Но сайт virusinfo доступен.
Скачал патчи и обновления безопасности, но пока не ставлю - жду указаний. Спасибо.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Lbd.sys',''); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_DeleteSvc('FCI'); BC_DeleteSvc('SpoolerRpcSs'); BC_DeleteSvc('TrkWksSwPrv'); BC_DeleteSvc('HTTPFilterIDriverT'); BC_DeleteSvc('DcomLaunchWZCSVC'); BC_DeleteSvc('AlerterNtLmSsp'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Скрипт выполнил. Завершение работы после него шло ОЧЕНЬ долго с активной записью на диск. После перезагрузки дата svchost.exe в system32 по-прежнему 13.07.2010.
Сделал логи, присоединяю.
Уважаемый(ая) runs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
