Решена Sality повеселился.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Влачер, 26 авг 2010.

Статус темы:
Закрыта.
  1. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Привет сообществу. Коллега на работе пожаловался, что авира ПСС с рабочего стола не запускается и в трее её нет. Надо сказать, что ключ на ней закончился с месяц назад, а интернетом продолжали пользоваться. Ну и в результате- заблокированы диспетчер задач и редактор реестра. При попытка зайти в "Установку и удаление задач" выскакивало окно с ошибкой rundll32.exe и воспользоваться этой функцией нельзя было. Что сделал:
    1. Загрузился с диска, запустил avptool. В результате найдено 15000 тел вируса, в основном в sistem-volume-information.
    2. Почистил все папки темп и корзину атф-клинером.
    3. Просканировал АВЗ-разблокировал заблокированное. Но вот с логами что то неясное.Скачивал базу с сайта Олега, там последнее добавление-21.08.2010. А в логе фигурирует-8.07.2010. И в какой то теме я эту цифирь видел.:(
    4.Хиджака тоже запускал, но пока фиксить не стал.
    5. Кода смотрел отчёт каспера, увидел, что был вылечен файл вида rundll32.exe.tmp. В оси галочка "Скрывать расширение для известных типов файлов"-стояла по умолчанию.
    6.Мбам на быстой проверке ничего не нашла.
    7. Поставил на ночь проверяться cureit.
    8. Далее к компу получу доступ только завтра, ибо он на работе.
    9. Диск с дистрибутивом системы отсутствует, СП3 пока не стал ставить.
     

    Вложения:

  2. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Влачер, Привет. :) Sality + Kido


    HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
    Код (Text):

    O4 - HKLM\..\Run: [GEST] m‘|\ь
     
    Скрипт AVZ.
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\drivers\fjmmtn.sys','');
     QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe','');
     DeleteFile('c:\windows\system32\drivers\fjmmtn.sys');
     DeleteFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe');
     DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
     DeleteService('abp470n5');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

    Загрузите GMER по одной из указанных ссылок
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
     
    4 пользователям это понравилось.
  3. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Последнее редактирование: 26 авг 2010
  4. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Drongo,
    строка из лога хиджака
    http://www.prevx.com/filenames/3113187289820733334-X1/TBCORE3.DLL.html
    Сильно смахивает на левый тулбар (а по сути тоже троян:mad:), уже 2 раза эта кака попадалась у знакомых, имя dll всё время меняется, а суть таже:mad:
    icotonev, знакомый раздел:yess: вот только веб стал ужас как долго сканировать. Честно сказать, я его не один раз запускал.1 раз стартовал в каком то особом режиме, когда только веб пашет, а всё остальное не активно. Нашёл модификацию 5 сектора в 1 файле. А уж потом на ночь поставил.
    Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?:sorry:
     
    2 пользователям это понравилось.
  5. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    icotonev, Файловый вирус неактивен уже, так что AVZ его возьмёт легко. :)


    Там, на компе, у вас кидо, и оно похуже не нужного алкоголя, давайте удалим явные вирусы, потом разберёмся с легальными, но не нужными прогами, пусть хозяин деинсталирует алкоголь через установку\удаление программы.
     
    2 пользователям это понравилось.
  6. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Drongo, ошибка с rundll32.exe вываливалась ежеминутно. Это изза узкоплёночного червяка?
     
  7. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Влачер, Вы скрипт выполнили? Логи gmer сделали? Я не вижу результатов выполнения.
     
  8. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Drongo, п.8 первого поста, извиняюсь:thank_you2::mda:
     
  9. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Гмером ничего не вышло- вышибает в момент экспресс-проверки. 3 скрипт с 1 раза не вышел- всё повисло в процессе выполнения. Потом сработал. В функции панели управления по прежнему не зайти, ошибка всё та же. Сureit отработал- нашёл около 70 штук 5-х секторов в системном восстановлении на диске С.
    Пофиксить не получилось-эта строка после скрипта исчезла. Карантин сейчас отправлю.
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
  11. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Вот лог
     

    Вложения:

  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Ни одного драйвера Kido не вижу.

    Можешь деинсталировать диамон тулз? После этого попробуй запустить Gmer.

    Как удалить Net-Worm.Win32.Kido (Conficker)

    Добавлено через -2 секунд
    Vba32 AntiRootkit - деинсталируй драйвер
     
    2 пользователям это понравилось.
  13. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    akoK, vba32 деинсталлировал. Daemon не могу- в установку и удаление не зайти-мешает ошибка rundll32
     
    Последнее редактирование: 27 авг 2010
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Тогда давай перейдем к удалению Kido
     
  15. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    akoK, ОК- с чего начнём? если сегодня не успеем до 16, то продолжение лечения будет только в понедельник, ну а комп останется на работе.
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
  17. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Сделал логи осама, как на сайте написано: до и после.
    Скрин почему то не могу сделать. Он вроде в формате bmp должен быть.Но не создаётся ни в какую. Как скопирповать текст из отчёта об ошибке?
     

    Вложения:

    • osam.rar
      Размер файла:
      6 КБ
      Просмотров:
      3
    • osam1.rar
      Размер файла:
      5,9 КБ
      Просмотров:
      4
    Последнее редактирование: 27 авг 2010
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Молодец. Повтори логи AVZ и RSIT
     
  19. Влачер
    Оффлайн

    Влачер Активный пользователь

    Сообщения:
    107
    Симпатии:
    291
    Все 3 лога в одном архиве
    Поставил СП3 и патчи 44 и 87. Ошибка rundll32 ушла.Заходит в "Установку и удаление". Но безопасный режим не пашет. Твики "после салити" уже только в понедельник смогу применить. Комп остаётся на работе. До понедельника, коллеги. Спасибо
     

    Вложения:

    • LOG.ZIP
      Размер файла:
      49,8 КБ
      Просмотров:
      3
    Последнее редактирование: 27 авг 2010
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Не вижу ничего вредоносного.
     
Статус темы:
Закрыта.

Поделиться этой страницей