Решена Кидо и компания

Статус
В этой теме нельзя размещать новые ответы.

Влачер

Активный пользователь
Сообщения
106
Симпатии
146
Баллы
453
#1
Коллега по работе пожаловался, что какие то окошки на домашнем компе стали выскакивать. Стояла Авира ПСС, но оказалось, что её успешно съели (зонтик сложен и строка сканера в контекстном меню неактивна). Было заблокировано системное восстановление, cureit просто подвисал на месте и не работал. Начал с МБАМ- удалилось около 15 объектов - трояны, руткит, хвосты червя. После этого cureit запустился и нашёл ещё 8 шт. Потом через ливсиди запустил AVPTool-нашёл главного виновника, которого ни веб, ни МБАМ не видели. После этого установилась и заработала Авира. Системное восстановление восстановил через АВЗ(но галочку снял). В безопасном режиме комп не запускается, сообщает об ошибке и просит запустить последнюю удачную конфигурацию. Надо сказать, что стояла хрюша с непатченным СП-1.:eek:Пришлось поставить СП3 и патчи 44,87. Ещё заметил, что система долго завершает работу- по 3-5 мин. Пока авз сканирует, кладу лог хиджака, коечто мне там не нравится, но авира со свежими базами ничего практически не нашла. Работоспособность интернета на проверял, хостфайл был размером более 4,5 Мб, сплошные абракозябры, просто взял и заменил файлом с другого компа.
 

Вложения

Влачер

Активный пользователь
Сообщения
106
Симпатии
146
Баллы
453
#4
Появлюсь завтра вечером. Забыл сказать, что менял explorer.exe/ У него дата изменения была как раз тогда, когда эта бодяга началась
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#5
Пофиксить в HijackThis следующие строчки
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\718eb4a6.exe,\\?\globalroot\systemroot\system32\4yjh6rg.exe,
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\fusservices.exe','');
 QuarantineFile('c:\windows\system32\srvany.exe','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('c:\windows\system32\718eb4a6.exe','');
 QuarantineFile('c:\windows\system32\4yjh6rg.exe','');
 DeleteFile('c:\windows\system32\4yjh6rg.exe');
 DeleteFile('c:\windows\system32\srvany.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('c:\windows\system32\718eb4a6.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteService('reset 5');
 DeleteService('imspqmn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

Добавлено через 15 секунд
Повторите логи.
 

Влачер

Активный пользователь
Сообщения
106
Симпатии
146
Баллы
453
#6
Пофиксил, скрипт выполнился без ошибок. Карантин отправил, правда он какой то жидки получился. Кладу пока хиджака, авз ещё работает:mad:
Одна штука осталась(а может и не одна):sorry:
 

Вложения

Последнее редактирование:

Влачер

Активный пользователь
Сообщения
106
Симпатии
146
Баллы
453
#7
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini
Файлы в процессе обработки.
fusservices.exe
Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского
Вот ответ ЛК

Вот ещё ссылка http://windows-processes.thefile.net/tasks/char_F.html
Безопасный режим по прежнему не запускается
 
Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#8
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,470
Симпатии
12,573
Баллы
2,203
#9
Пофиксить в HijackThis следующие строчки
Код:
 	O20 - Winlogon Notify: reset5 - C:\WINDOWS\
Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу