-
Junior Member
- Вес репутации
- 60
Внимание! По поводу неоткрывающихся сайтов.
Пожалуйста, посмотрите на тред http://virusinfo.info/showthread.php?t=83937 - вирус дописывает в таблицу маршрутизации 204 постоянных маршрута с шлюзом, последний октет ip которого на единицу меньше того, что указан в настройках сетевого адаптера. Даже если удалить вирус (он находится в %windir%\system32 под случайным именем), таблица останется в измененном состоянии и сайты не начнут открываться.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
прикрепите логи в эту тему
а из этой удалите
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
polword
прикрепите логи в эту тему
а из
этой удалите
Прикрепляю.
Но в них ничего интересного - вирус я удалил до того, как провел диагностику.
В одной из соседних тем я увидел описание такой же проблемы, которую я описал, поэтому и завел данную тему.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 60
На попытку загрузки карантина вирусинфо ругается:
Ошибка загрузки. Данный файл уже был загружен
Впрочем, архив пустой.
Логи RSIT в приложении
-
Сообщение от
smplmnd
На попытку загрузки карантина вирусинфо ругается:
Ошибка загрузки. Данный файл уже был загружен
ругается потому что пустой
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\uoeakk.exe','');
DeleteFile('C:\WINDOWS\system32\uoeakk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 60
Карантин выслал.
Логи в приложении.
-
в логе чисто.
После обновления системы:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 60
Все сделал, уязвимости устранены.
Спасибо!
Остался только вопрос: каким же образом этот uoeakk.exe попал в системный каталог, если запущенный на компьютере DrWeb Enterprise Suite давным-давно знает его как Trojan.PWS.Ibank?
-
поменяйте на всякий случай все пароли
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
polword
поменяйте на всякий случай все пароли
Уже.. и даже более того - все банк-клиенты будут установлены на отдельный комп, который больше ни для чего использоваться не будет.
-
Сообщение от
smplmnd
все банк-клиенты будут установлены на отдельный комп, который больше ни для чего использоваться не будет.
и это правильно
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-