Steel Rain 2 Опубликовано 18 февраля, 2010 Share Опубликовано 18 февраля, 2010 Приветствую, господа. Следующая проблемка: В понедельник лечил зверинец на клиентском ноуте, много было всякой живности, среди прочего Kido.ih. Прошелся AVZ, сделал им же восстановление системы. Пролечил утилиткой KK.exe 3.4.13 кажется, утилитка честно нашла несколько зараженных файлов и покоцала их. Потом опаса ради удалил System Volume Information все Temp и иже с ними у всех пользователей. Да, все это в безопасном режиме. Далее перезагрузился. Обновил KAV 2010 и сделал полную проверку. Ничего не нашлось. Ещё раз прогнал КК, тоже пусто. С чистой совестью отдал клиенту. Через день звонит, с жалобой, что после включения ноута KAV через несколько минут сообщае что нашел вирус и завершает работу системы. Посмотрел, да действительно, обнаруживает Kido.ih в System32 и в темпах NetUser. Повторил все предыдущие операции. Отдал ноут. Сегодня проблема повторилась. Клиент, бия себя пяткой в грудь, клянется что в инет не ходил, флешек не вставлял и ничего противоестественного не делал... Я теряюсь... Выкладываю логи, может быть чего пропустил... virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 18 февраля, 2010 Share Опубликовано 18 февраля, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\CzvrF.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\CzvrF.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. - ПК перезагрузится. - Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. - Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 18 февраля, 2010 Share Опубликовано 18 февраля, 2010 + к совету snifer67 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected. - нажмите No, если вы хотите оставить ваши сохраненные пароли. - если вы используете Opera, нажмите Opera - Select All - Empty Selected. - нажмите No, если вы хотите оставить ваши сохраненные пароли. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Также ждем новые логи AVZ. Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 18 февраля, 2010 Автор Share Опубликовано 18 февраля, 2010 (изменено) Что то мне тоже этот файлик не понравился... Но на ноуте столько всяких г-нопрограмм наставлено... как то побоялся я его удалять. А зря, видимо... Карантин отправил. Жду ответа. Добавляю новые логи. virusinfo_syscheck.zip virusinfo_syscure.zip GMER.log hijackthis.log Изменено 19 февраля, 2010 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 19 февраля, 2010 Share Опубликовано 19 февраля, 2010 Чисто Установите IE8 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 19 февраля, 2010 Автор Share Опубликовано 19 февраля, 2010 Благодарю всех за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.