Невозможность соединения с серверами ЛК

[Олег777]

Просьба разобрать данные логи.

Возможен новый (?) вирус.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[MedvedevUnited]

sbrige.dll - подозрительный

[Олег777]

Пожалуйста, нужны скрипты!

[ТроПа]

Олег777, какова цель - поймать новые разновидности (или не новые) или просто удалить вредоносов?

 

В общем если нужны копии - то

Скачайте IceSword.

Запустите программу.

Внизу слева выберите меню File.

Найдите в нем файлы

C:\WINDOWS\System32\Drivers\Winsx73.sys

C:\WINDOWS\System32\Drivers\Winsy62.sys

C:\WINDOWS\System32\Drivers\Winub62.sys

C:\WINDOWS\System32\Drivers\Winxd73.sys

C:\WINDOWS\System32\Drivers\Winye05.sys

C:\WINDOWS\System32\Drivers\Winyf16.sys

Нажмите по нему правой кнопкой мыши и выберите Copy to.

Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу набирите произвольное расширение файла, например ddd.

P.S. Точно не помню, но в IceSword они должны быть видны.

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sbrige.dll','');
QuarantineFile('C:\WINDOWS\System32\sbrige.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx73.sys','');
QuarantineFile('C:\DOCUME~1\575B~1\LOCALS~1\Temp\catchme.sys','');
DeleteFile('C:\DOCUME~1\575B~1\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf16.sys');
DeleteFile('sbrige.dll');
DeleteFile('C:\WINDOWS\system32\sbrige.dll');
BC_ImportAll;
BC_DeleteSvc('catchme');
BC_DeleteSvc('Winyf16');
BC_DeleteSvc('Winye05');
BC_DeleteSvc('Winxd73');
BC_DeleteSvc('Winub62');
BC_DeleteSvc('Winsy62');
BC_DeleteSvc('Winsx73');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам. Ну или куда там нужен карантин, но группа Win*** может не попасть в карантин АВЗ, тогда, если копировали их при помощи IceSword тоже отправьте куда нужно.

[Олег777]

Cпасибо!

 

А можно по-подробнее о программе IceSword ?

Для каких целей она применяется и на сколько безопасно и оправданно её использование?

 

Нужно помочь нашему пользователю.

Похоже, что это что-то "новенькое"

[MedvedevUnited]

Вкратце здесь: http://www.antirootkit.com/software/IceSword.htm

[ТроПа]

Это не новенькое, а дело обычное. IceSword - это антируткит, он разрабатывается братьями китайцами. На ВИ постоянно ним пользуемся, пока не было никаких проблем. Тут как подходить к вопросу, на западных ресурсах его не очень используют, по не понятным для меня причинам. Можно ещё попробывать компанию Win*** поискать при помощи АВЗ--сервис--поиск файлов на диске и закарантинить если найдётся, хоть кто нибудь. Ни разу не пробывал так их ловить, обычно только IceSword. Но если товарищ лиц.пользователь ЛК то можно попробывать вышеупомянутям способо при помощи АВЗ поискать, если не получится, а образец нужен, то пробуйте IceSword. Да и после него драйвер обычно остаётся, как после АВТула ранних версий, только они не плодятся, при каждом перезапуске, а он один и тот же IsDrv22, насколько помню, его потом в логах АВЗ видно.