Решена Кидо и компания

Статус
В этой теме нельзя размещать новые ответы.

Влачер

Участник
Сообщения
91
Реакции
140
Коллега по работе пожаловался, что какие то окошки на домашнем компе стали выскакивать. Стояла Авира ПСС, но оказалось, что её успешно съели (зонтик сложен и строка сканера в контекстном меню неактивна). Было заблокировано системное восстановление, cureit просто подвисал на месте и не работал. Начал с МБАМ- удалилось около 15 объектов - трояны, руткит, хвосты червя. После этого cureit запустился и нашёл ещё 8 шт. Потом через ливсиди запустил AVPTool-нашёл главного виновника, которого ни веб, ни МБАМ не видели. После этого установилась и заработала Авира. Системное восстановление восстановил через АВЗ(но галочку снял). В безопасном режиме комп не запускается, сообщает об ошибке и просит запустить последнюю удачную конфигурацию. Надо сказать, что стояла хрюша с непатченным СП-1.:eek:Пришлось поставить СП3 и патчи 44,87. Ещё заметил, что система долго завершает работу- по 3-5 мин. Пока авз сканирует, кладу лог хиджака, коечто мне там не нравится, но авира со свежими базами ничего практически не нашла. Работоспособность интернета на проверял, хостфайл был размером более 4,5 Мб, сплошные абракозябры, просто взял и заменил файлом с другого компа.
 

Вложения

Система заражена. Ждем логи AVZ для комплексного лечения.
 
Появлюсь завтра вечером. Забыл сказать, что менял explorer.exe/ У него дата изменения была как раз тогда, когда эта бодяга началась
 
Последнее редактирование:
Пофиксить в HijackThis следующие строчки
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\718eb4a6.exe,\\?\globalroot\systemroot\system32\4yjh6rg.exe,

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\fusservices.exe','');
 QuarantineFile('c:\windows\system32\srvany.exe','');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('c:\windows\system32\718eb4a6.exe','');
 QuarantineFile('c:\windows\system32\4yjh6rg.exe','');
 DeleteFile('c:\windows\system32\4yjh6rg.exe');
 DeleteFile('c:\windows\system32\srvany.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\imspqmn.sys');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('c:\windows\system32\718eb4a6.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteService('reset 5');
 DeleteService('imspqmn');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив необходимо загрузить при помощи этой формы:
1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина и нажмите "Далее".
4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

Добавлено через 15 секунд
Повторите логи.
 
Пофиксил, скрипт выполнился без ошибок. Карантин отправил, правда он какой то жидки получился. Кладу пока хиджака, авз ещё работает:mad:
Одна штука осталась(а может и не одна):sorry:
 

Вложения

Последнее редактирование:
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini
Файлы в процессе обработки.
fusservices.exe
Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского
Вот ответ ЛК

Вот ещё ссылка http://windows-processes.thefile.net/tasks/char_F.html
Безопасный режим по прежнему не запускается
 
Последнее редактирование:
Последнее редактирование:
Пофиксить в HijackThis следующие строчки
Код:
 	O20 - Winlogon Notify: reset5 - C:\WINDOWS\

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 
Чисто. Что с проблемами?
 
Хозяева компа благодарны, интернет работает.Спасибо всему сообществу:victory::bye:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу