Зловред не даёт настроить сеть

[iron]

при попытке выставить в "Сетевые подключения" - "Подключения по локальной сети" TCP IP -Получать адрес автоматически адрес настраивается на IP 169.123.22.3 а не на 192.168.1.2 (на роутер) и в итоге нет Интернета. Подключаю роутер к другому компу - все нормально.

 

Выловил с помощью утилиты ДрВэб следующую дрянь

01.tmp C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.

alil.dll C:\WINDOWS\system32 Trojan.Packed.365 Неизлечим.Перемещен.

lumhze.dll C:\WINDOWS\system32 Win32.HLLW.Autoruner.5555 Удален.

spoolsv.exe C:\WINDOWS\system32\drivers BackDoor.IRC.Sdbot.4116 Удален.

file.exe C:\DOCUME~1\main\LOCALS~1\Temp Trojan.DownLoad.41551 Удален.

IHAA.tmp C:\DOCUME~1\main\LOCALS~1\Temp Trojan.Packed.16669 Удален.

IHAB.tmp C:\DOCUME~1\main\LOCALS~1\Temp Trojan.Packed.16669 Удален.

NTDETECT.EXE C:\ Trojan.DownLoad.41551 Удален.

svchost.exe C:\Documents and Settings\main Trojan.DownLoad.41551 Удален.

Изменено 11 февраля, 2010 пользователем iron

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\35941224\35941224.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\80340520\80340520.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\80340520\80340520.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\35941224\35941224.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','80340520');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','35941224');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

[iron]

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

Сеть заработала! Спасибо!

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\Drivers\atapi.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Проверьте систему TDSS Killer

[iron]

Полученный архив отправьте на newvirus<at>kaspersky.com

отправил.

проверил TDSS Killer ом

 

Спасибо!

[akoK]

Пожалуйста, предоставьте отчет утилиты.

[iron]

Пожалуйста, предоставьте отчет утилиты

в папке с утилитой нет никакого отчета? После запуска было объявлено, что зачищены какие-то ветки в реестре и был запрос на перезагрузку. Я ответил Y комп перезагрузился, но в папке никакого лога не осталось

[akoK]

Ладно тогда. Подготовьте лог syscheck.

[iron]

Подготовьте лог syscheck.

сделал

[lifestory]

Обновите Базы AVZ

Если вы не используете в работе данные службы отключите их

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

[akoK]

iron, правила игры немного изменились. Карантин необходимо загрузить при помощи этой формы

[iron]

iron, правила игры немного изменились. Карантин необходимо загрузить при помощи

Отправил.

 

Обновите Базы AVZ

Если вы не используете в работе данные службы отключите их

Обновил, отключил.

 

iron, правила игры немного изменились. Карантин необходимо загрузить при помощи

 

Пришел ответ

atapi.sys

 

Вредоносный код в файле не обнаружен.

 

bcqr00001.ini,

bcqr00002.ini

 

Файлы в процессе обработки.

[snifer67]

Чисто

 

Установите SP3(может потребоваться активация)+все последующие обновления

[iron]

Чисто

Спасибо!