Agdagi Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 (изменено) В субботу вечером получил первый звоночек, что на компьютере появились вирусы. Обычные методы ух лечения/удачления, как то, установка различных антивирусных программ, результатов не дала - вирусы, среди которых выделялись такие как Virut.NBP, Protector.B, Ursnif.A так и оставались в системе. Пытался лечить систему через безопасный режим и коммандную строку - тот же результат. Форматировал диск С, удалял со всех дисков папки с System volume information и Resycle, вновь ставил Windows. Несколько минут живется спокойно, есть интернет, но затем идет громкий *бип* из системного блока, после чего опять все начинается по новой. За эти дни пытался найти хоть какую-то полезуню информацию, которая могла бы мен помочь в интернете, не нашел ничего кроме того как создать эти самые вирусы, через уязвимость termsrv... Единственное что более-менее нашел по теме, так это этот форум. Уже отчаялся, что придется все 4 диска форматировать, а там семейный архив фотографий/видео... Помогите если не очистить всю систему, то хотя бы диски где эти архивы хранятся от вирусов, а все остальное под удаление, так и быть. Интернет - через сетевой кабель. NAT. С инфиницированного компьютера выхода в интернет нет - говорит нельзя подсоединиться, сижу со второго. Боюсь и его заразить, ведь что бы вам файлы выслать, пришлось к зараженному флешку подключать, и на этот файлы переносить. Хотя там вроде никаких авторанов не было создано... Сообщение от модератора Falcon Удалил карантин. hijackthis.log virusinfo_syscheck.zip Изменено 10 июля, 2009 пользователем wise-wistful
Falcon Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 Здравсвтуйте, Agdagi! Прикрепите, пожалуйста, файл virusinfo_syscure.
Agdagi Опубликовано 7 июля, 2009 Автор Опубликовано 7 июля, 2009 И вам здравствовать, Falcon! Извините за невнимательность. Прикрепляю. virusinfo_syscure.zip
Falcon Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\documents and settings\sas\reader_s.exe'); TerminateProcessByName('c:\windows\system32\reader_s.exe'); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('C:\WINDOWS\inf\unregmp2.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); DeleteService('protect'); QuarantineFile('c:\windows\system32\termsrv.dll',''); QuarantineFile('c:\windows\services.exe',''); QuarantineFile('c:\windows\system32\reader_s.exe',''); QuarantineFile('c:\documents and settings\sas\reader_s.exe',''); DeleteFile('c:\windows\services.exe'); DeleteFile('c:\windows\system32\reader_s.exe'); DeleteFile('c:\documents and settings\sas\reader_s.exe'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('protect'); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Пофиксить в HJT(строчки могут отсутствовать): O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\SAS\reader_s.exe Выполните в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. Сделайте новый комплект логов.
Agdagi Опубликовано 7 июля, 2009 Автор Опубликовано 7 июля, 2009 (изменено) Спасибо за оперативный ответ. Все сделал, письмо отправил, но ответа пока не получил. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 7 июля, 2009 пользователем Agdagi
thyrex Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 E:\Programs\Windows\avz4\avz.exe C:\WINDOWS\system32\dllcache\ndis.sys C:\WINDOWS\system32\termsrv.dll Заархивируйте, пожалуйста, с паролем virus и пришлите на thyrex2002@tut.by
Agdagi Опубликовано 7 июля, 2009 Автор Опубликовано 7 июля, 2009 Заархивировать получилось только avz.exe. У оставшихся двух файлов - отказ в доступе. Файл отправил на указанный ящик.
thyrex Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 (изменено) Результат проверки avz.exe http://www.virustotal.com/ru/analisis/fe7a...6ce1-1246984999 Файловый вирус, лечить который нужно как описано здесь Сам файл отправил в вирлаб Попробуйте два оставшихся файла скопировать в другую папку на диске и самостоятельно проверить их на virustotal Ссылки на результат проверки сообщите Предположительно здесь C:\WINDOWS\system32\dllcache\ndis.sys найдется Protector.B Изменено 7 июля, 2009 пользователем thyrex
Agdagi Опубликовано 7 июля, 2009 Автор Опубликовано 7 июля, 2009 Попробуйте два оставшихся файла скопировать в другую папку на диске и самостоятельно проверить их на virustotal Ссылки на результат проверки сообщитеПредположительно здесь C:\WINDOWS\system32\dllcache\ndis.sys найдется Protector.B Я когда их заархивировать пытался, пробовал скопировать в другое место. Не получилось. Сейчас попробую воспользоваться по вашему совету LiveCD. Скажите, после проверки системы, мне надо вновь будет пройти процедуру проверки AVZ и выслать сюда логи?
thyrex Опубликовано 7 июля, 2009 Опубликовано 7 июля, 2009 Да Пришел ответ: avz_.exe_ - Virus.Win32.Virut.ceДетектирование файла будет добавлено в следующее обновление.
Agdagi Опубликовано 8 июля, 2009 Автор Опубликовано 8 июля, 2009 (изменено) Извините что пишу немного криво - я с саита транслит.ру. Значит так, сейчас третий раз идет проверка дисков с помощю Dr.Web Live CD, предыдущие два раза закончились тем, что отключалса монитор... Пока антивирус "лечит" очень много всего. Но посколку зто уже не первый раз проверка идет, что-то меня настораживает. Однако я сеичас по другой причине пишу - я смог выслать на проверку фаила, что не мог ранше, вот резултаты: http://www.virustotal.com/ru/analisis/1d71...0068-1247052186 ndis.sys же из папки system32\dllcache\ пропал, его сеичас там нет. (не исклучаю, что его удалил антивирус dr.web) После 5 часов проверки Dr.Web Live CD, компьютер решил зависнуть на 20-25% от всего объема обработки. Однако, за это время он успел пройтись по двум дискам, где у меня и были установлены все программы и перешел уже на мои видео-музыкальные архивы, где часа 1,5 просто просматривал все и ничего не обнаруживал/лечил вплоть до момента зависания. Затем я перезагрузил компьютер и вновь сделал проверку в AVZ, логи которой прилагаю с этим сообщением. Что мне стоит делать дальше? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 8 июля, 2009 пользователем Agdagi
thyrex Опубликовано 8 июля, 2009 Опубликовано 8 июля, 2009 Если получится C:\WINDOWS\system32\termsrv.dll заархивировать с паролем infected и отправить на newvirus@kaspersky.com Указать этот пароль в своем письме. Приложить в письмо ссылку на результат проверки на virustotal. Также сделать в письме пометку "требует ответа"
Agdagi Опубликовано 9 июля, 2009 Автор Опубликовано 9 июля, 2009 Пока получил 2 ответа. Будут ли еще, не знаю. Здравствуйте,В присланном Вами файле не найдено ничего вредоносного. Здравствуйте,Извините произонша ошибка и в предыдущем письме вы получили не тот ответ. Ваш файл находится в процессе обработки. Это исправленный системный файл.
Agdagi Опубликовано 10 июля, 2009 Автор Опубликовано 10 июля, 2009 Не знаю, прав я или нет, но сейчас сделал повторную отправку файла termsrv.dll, получил ответ: Здравствуйте, termsrv.dll Вредоносный код в файле не обнаружен. Что делать дальше?
thyrex Опубликовано 10 июля, 2009 Опубликовано 10 июля, 2009 Кроме этого файла ничто не вызывало подозрений. Что с проблемами на данный момент?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти