-
Junior Member
- Вес репутации
- 51
Net-Worm.Win32.Kido.hr и Virus.Win32.Sality
Всем привет. Случился такой трабл: подцепил такой вирус Net-Worm.Win32.Kido.hr (по классификации Каспера) и Virus.Win32.Sality. Пробовал лечить CureIt, klwk, KK, Virus Removal Tool - но ничего не получилось он снова восстановился после перезагрузки. Лечил так: скачал и запустил на проверку CureIt (последнюю версию) вылечил 15 зараженных файлов, запустил КК - ничего не нашел, klwk - тоже глухо, Virus Removal Tool - нашел и удалил Virus.Win32.Sality (так написал Каспер), снова открылся доступ к Диспетчеру задач и Реестру. Перезагрузил и снова та же ситуация: блок. ДЗ, реестр, откр. порты 139 137.
Если кто-то сталкивался с этой версией бациллы и знает как ее лечить Пожалуйста помогите.
Логи AVZ, RSIT и HiJack прилагаются
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\Neon\YzShadow.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mqjse.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\mqjse.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- скачайте новую версию AVZ - 4.34
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
-
-
-
-
Junior Member
- Вес репутации
- 51
Ребята спасибо что так быстро откликнулись на помощь. Но сегодня к сожалению больше прислать ничего не могу - офис закрылся. Пришлю карантин, новые логи avz 4.34, hijack и результаты действия ваших скриптов завтра утром. Спасибо за помощь. И еще раз извините.