Dgeday Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 (изменено) Подцепили судя по всему трояна. В трее вылез красный круг с белым крестом и выдаёт переодически сообщение типа: "Ваш компьютер инфицирован ..." и всё такое, на форуме уже писали о подобном. Проблема в следующем: на компьютере стоял КАВ 2009, который сразу перестал работать и вручную тоже не запускается. Также не запускаются ни avz ни HiJackThis, такое ощущение, что эта гадость просто срубает эти процессы, по крайней мере на экране ни чего не появляется ... Подскажите плз, что сделать можно ... Нда, стоило глаза открыть ... virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Сразу добавлю, удалось поставить NOD32, пытался им лечить, толк был но очень мало. R_server установлен намеренно ... Изменено 12 августа, 2009 пользователем Falcon
thyrex Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 (изменено) 1. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); TerminateProcessByName('c:\windows\system32\braviax.exe'); QuarantineFile('c:\windows\system32\braviax.exe',''); DeleteFile('c:\windows\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. 2. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. 3. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива: - Загрузитесь в консоли восстановления - На приглашение введите строку: expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - На приглашение введите строку: expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите. - Выйдите из консоли восстановления командой exit + клавиша ВВОД. - Загрузитесь нормально. Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК. Дальнейшее лечение будет эффективным только после выполнения вышенаписанного 4. Сделайте новые логи Изменено 12 августа, 2009 пользователем thyrex
Dgeday Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 (изменено) Всё сделал. Файл quarantine.zip отпарвил на newvirus@kaspersky.com. Жду ответа. Из консоли восстановления заменить файлы не удалось. В первом случае было сообщение: "Не удаётся найти указанный файл или папку". Потом понял почему, в дистрибутиве нет файла ntfs.sy_, а есть ntfs.sys. Во втором случае выдал сообщение: "Не удаётся создать файл beep.sys. 0 файлов скопировано". Грузанул Live CD и ручками всё заменил. После перезагрузки красный круг с белым крестом исчез, но по состоянию сетевого подключения видно, что обмен трафиком просто огромный. Поэтому на время отрубил Инет и сюда пишу с другого компа. Также выкладываю новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 12 августа, 2009 пользователем Dgeday
thyrex Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 (изменено) Вместо команды expand можно использовать обычный архиватор (например, Winrar). Попробуйте сделать следующее: 1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку 2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers 3. Пофиксить в HiJack O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O20 - AppInit_DLLs: cru629.dat 4. Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\cru629.dat',''); DeleteFile('C:\WINDOWS\system32\cru629.dat'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. 5. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. 6. Сделайте новые логи Изменено 12 августа, 2009 пользователем thyrex
Dgeday Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 (изменено) Вместо команды expand можно использовать обычный архиватор (например, Winrar).Попробуйте сделать следующее: 1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку 2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers Всё это я уже сделал, описал это в предыдущем посте. Грузанул Live CD и ручками всё заменил. Я так понимаю, что пункты 1 и 2 можно пропустить ?!... Изменено 12 августа, 2009 пользователем Dgeday
thyrex Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 Если на 100% уверены, что заменили, можете пропустить
Dgeday Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 Да, конечно, руками же делал ...
Dgeday Опубликовано 13 августа, 2009 Автор Опубликовано 13 августа, 2009 Всё сделал, жду очередного ответа от ЛК. Трафик прилично снизился, но всёравно выражается шести-семизначными числами. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
thyrex Опубликовано 13 августа, 2009 Опубликовано 13 августа, 2009 Уж не знаю, как Вы его заменяли... Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Beep'); DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Сделать новые логи. Что с трафиком?
Dgeday Опубликовано 14 августа, 2009 Автор Опубликовано 14 августа, 2009 Ответ на перый файл, отправленный в ЛК: "В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь. Backdoor.Win32.Small.ejx" Вот логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Трафик, к сожалению, по прежнему большой ...
Falcon Опубликовано 14 августа, 2009 Опубликовано 14 августа, 2009 - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Dgeday Опубликовано 18 августа, 2009 Автор Опубликовано 18 августа, 2009 Вот лог: Log.log Сообщение о работе руткита не было ни при быстрой проверке, ни при сканировании ...
thyrex Опубликовано 18 августа, 2009 Опубликовано 18 августа, 2009 Включите AVZPM (в AVZ выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Дополнительно сделайте отчет утилиты GSI (ссылка в моей подписи)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти