-
Junior Member
- Вес репутации
- 51
окончательная очистка сильно зараженной системы
Добрый день, уважаемые специалисты!
Cure-it в ходе проверки нашел около 200 файлов, зараженных разнообразными вирусами и троянами. Осноным симптомом, вызывавшим подозрение на наличие в системе вирусов, была программа, маскировавшаяся под утилиту обслуживания системы под названием Smart Defragmenter, которая при запуске любых программ выдавала сообщение, что файл поврежден и необходима проверка жесткого диска. При попытке удалить ее через деинсталлятор вылезала та же ошибка. При этом большая часть апплетов в Панели управления не была видна. Любые попытки отключить программу через диспетчер задач приводили к блокировке рабочего стола. После лечения Cure it все симптомы исчезли, но хотелось бы проверить, не осталось ли в системе других вредоносных программ. Необходимые логи прилагаю. Заранее спасибо за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Dmitry\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\22.tmp','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\yzprrpwp.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\xsbzlmdp.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\nwgmhhtu.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nfwvjgvz.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\joavxuao.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\jfmimsbu.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\jekrzlvw.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ivnytncg.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ffywvags.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\awulepmt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\nopoobo.exe','');
QuarantineFile('C:\WINDOWS\system32\viteto.exe','');
DeleteFile('C:\WINDOWS\system32\viteto.exe');
BC_DeleteSvc('a93eeoon16aa');
DeleteFile('C:\WINDOWS\system32\nopoobo.exe');
BC_DeleteSvc('wquaiuueybebe');
DeleteFile('C:\WINDOWS\System32\Drivers\awulepmt.sys');
BC_DeleteSvc('awulepmt');
DeleteFile('C:\WINDOWS\System32\Drivers\ffywvags.sys');
BC_DeleteSvc('ffywvags');
DeleteFile('C:\WINDOWS\System32\Drivers\ivnytncg.sys');
BC_DeleteSvc('ivnytncg');
DeleteFile('C:\WINDOWS\System32\Drivers\jekrzlvw.sys');
BC_DeleteSvc('jekrzlvw');
DeleteFile('C:\WINDOWS\System32\Drivers\jfmimsbu.sys');
BC_DeleteSvc('jfmimsbu');
DeleteFile('C:\WINDOWS\System32\Drivers\joavxuao.sys');
BC_DeleteSvc('joavxuao');
DeleteFile('C:\WINDOWS\system32\Drivers\nfwvjgvz.sys');
BC_DeleteSvc('nfwvjgvz');
DeleteFile('C:\WINDOWS\System32\Drivers\nwgmhhtu.sys');
BC_DeleteSvc('nwgmhhtu');
DeleteFile('C:\WINDOWS\system32\Drivers\xsbzlmdp.sys');
BC_DeleteSvc('xsbzlmdp');
DeleteFile('C:\WINDOWS\System32\Drivers\yzprrpwp.sys');
BC_DeleteSvc('yzprrpwp');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('c:\windows\system32\wuaucldt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaucldt');
DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\22.tmp');
DeleteFile('C:\Documents and Settings\Dmitry\wuaucldt.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Так же выполните это:
http://support.kaspersky.ru/faq/?qid=208636926
Файл C:\TDSSKiller.***_log.txt приложите в теме.
-
-
Junior Member
- Вес репутации
- 51
Спасибо! Все сделал, новые логи в приложении к сообщению. Карантин также выслал по правилам.
-
Системный файл C:\WINDOWS\system32\Drivers\NDIS.sys заражен.
Удалять его нельзя, его нужно заменить на чистый, как здесь описано:
http://virusinfo.info/showthread.php?t=51654
После замены выполните скрипт:
Код:
begin
RegSearch('HKLM', '', '22.tmp');
SaveLog('c:\Search.log');
ExecuteRepair(6);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Приложите здесь файл c:\Search.log
Повторите еще раз лог virusinfo_syscheck.zip и приложите в теме.
Добавлено через 4 минуты
Так же еще вот это:
Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Это вообще позор какой-то...
Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer до актуальной версии (даже если не используете).
Последний раз редактировалось Nikkollo; 03.11.2010 в 20:37.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Это вообще позор какой-то...
Установите Service Pack 3 и обновления, вышедшие после него (может потребоваться активация).
Обновите Internet Explorer до актуальной версии (даже если не используете).
Разумеется. Как только закончу лечение, сразу же обновлю систему и Эксплорер. Компьютер не мой - соседский .
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил. Новые логи прилагаю.
-
Junior Member
- Вес репутации
- 51
Уважаемые знатоки, правильно ли я понимаю, что нужно удалить отовсюду следы файла 22.tmp? Нужно закончить лечение, но самодеятельностью решил не заниматься и дождаться ответа профессионалов. Ответьте, пожалуйста.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dmitry\\wuaucldt.exe - Trojan.Win32.Pincav.ajch ( DrWEB: Trojan.DownLoader1.34060, BitDefender: Trojan.Generic.5129101, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )
-