Aeolus1 0 Опубликовано 22 января, 2011 Share Опубликовано 22 января, 2011 Приветствую хэлперов! При переходе на кабельный интернет вдруг активизировалась куча вирусов. А именно - Worm.Win32.AutoRun.btzw , Trojan-Downloader.JavaOpenConnection , Exploit.HTML.CUF-2010-1886.aa . О двух последних я прочёл в отчёте Касперского за тот день (11.0.1.400 базы от 14.01.11), далее они себя не проявляли. Началось с зависания интернета через короткий срок, при попытке выйти. Антивирус иногда вдруг находил Worm.Win32.AutoRun, но полная проверка зависала то в начале, то на 28%. Позже стал загружаться только рабочий стол и панель ПУСК, без возможности что-либо делать. В безопасном режиме отключил восстановление системы и отключил поиск руткитов в AVP. После чего система стала загружаться в обычном режиме, стало возможно работать. Но при попытке выхода в интернет, system32/svchost.exe пытается "загрузить объект" с *** содержащего вредоносную ссылку. Касперский его на этом ловит. Через 1-5 минут процесс AVP грузит цп на 99% и работа становится невозможной. Фальшивый svchost я не нашел. Зато AVP в диспетчере задач у меня два. Не имею опыта в борьбе с вирусами и прошу знающих людей помочь мне. Система Windows xp sp2. Базы антивируса обновить не удаётся. Все необходимые логи прилагаются. Строгое предупреждение от модератора Mark D. Pearlstone Ссылка удалена. Не выкладывайте такое. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 января, 2011 Share Опубликовано 22 января, 2011 (изменено) Зато AVP в диспетчере задач у меня два. это нормально. Система Windows xp sp2 а вот это плохо. нужно будет обновить до sp3 Проверьте компьютер утилитой из этой статьи: http://support.kaspersky.ru/faq/?qid=208639606 полученный лог из корня диска С приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('WaitSvc', 4); StopService('TCPZ'); QuarantineFile('C:\WINDOWS\system32\msvcp90.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\tcpz-x86d.sys',''); QuarantineFile('C:\WINDOWS\system32\waitaprnlib.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\akyrio9l.SYS'); DeleteFile('c:\windows\system32\waitaprnlib.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaitSvc\Parameters','ServiceDll'); DeleteService('WaitSvc', ); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Выполните скрипт из этого сообщения: http://virusnet.info/forum/showthread.php?t=9188 После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Сделайте новые логи по правилам. Изменено 22 января, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Aeolus1 0 Опубликовано 22 января, 2011 Автор Share Опубликовано 22 января, 2011 (изменено) После первого скрипта загрузка ЦП пропала. В сеть больше никто не лезет. Это от Касперского ответ Раскрывающийся текст: bcqr00001.dat, bcqr00002.dat Файлы нулевой длины. bcqr00003.dat, bcqr00004.dat, tcpz-x86d.sys Вредоносный код в файлах не обнаружен. waitaprnlib.dll - Net-Worm.Win32.Kolab.sdp Детектирование файла будет добавлено в следующее обновление. С уважением, Лаборатория Касперского Интернет обрывается спустя пару минут, при том все окна и панель ПУСК "перезагружаются" в стандартный черно-белый вид и обратно. Новые логи. TDSSKiller.2.4.14.0_22.01.2011_18.53.39_log.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 22 января, 2011 пользователем Aeolus1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 23 января, 2011 Share Опубликовано 23 января, 2011 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Aeolus1 0 Опубликовано 23 января, 2011 Автор Share Опубликовано 23 января, 2011 (изменено) Такие дела. Базы я новые скачал, после ответа от Касперского. Комбо Фикс поработал, перезагрузился. Лог прилагаю к письму. Интернет теперь работает минут 15 - 20. Выдаёт ошибку. Раскрывающийся текст: Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. szAppName : svchost.exe szAppVer : 5.1.2600.2180 szModName : unknown szModVer : 0.0.0.0 offset : 001f1cb0 C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\svchost.exe.mdmp C:\DOCUME~1\0498~1\LOCALS~1\Temp\WERd63c.dir00\appcompat.txt И отрубается. Касперский выловил тот самый Net-Worm.Win32.Kolab.sdp. Но не до конца, тот постоянно лезет в сеть через svchost и на том попадается. Ещё так бывает. ComboFix.txt Изменено 23 января, 2011 пользователем Aeolus1 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 23 января, 2011 Share Опубликовано 23 января, 2011 Установите обновления на виндовс.Повторите лог. Цитата Ссылка на сообщение Поделиться на другие сайты
Aeolus1 0 Опубликовано 23 января, 2011 Автор Share Опубликовано 23 января, 2011 Благодарю товарищей Roman_Five и thyrex, в следствии выполнения их рекомендаций удалось приблизить победу над ненавистными червями. Но представляется мало возможным устанавливать сейчас массивные пакеты обновлений, так как компьютер и интернет работают нестабильно. Касперский ловит Net-Worm.Win32.Kolab.sdp под разными личинами. Каждое лечение занимает не менее 20 минут с последующей перезагрузкой. Полная проверка останавливается на файлах вида system32/A99(28,98).exe , которые иногда определяются Касперским, как тот самый червь. Временами возвращается загрузка Цп avp и попытки загрузить ту же вредоносную ссылку. Хотелось бы узнать, является ли загрузка обновлений (sp3,IE и т.д.) единственным методом лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 24 января, 2011 Share Опубликовано 24 января, 2011 единственным методом лечения. профилактики. да. начните с этого: http://www.microsoft.com/downloads/details...;displayLang=ru скачайте на другом компьютере и установите на своём. Цитата Ссылка на сообщение Поделиться на другие сайты
Polik 37 Опубликовано 24 января, 2011 Share Опубликовано 24 января, 2011 От Kido помогает только фаервол. Установите какойто фаервол, например Pc Tools (он бесплатный) и кидо больше не будет, он лезит к Вам из локальной сети. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.