• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Sality повеселился.

Статус
В этой теме нельзя размещать новые ответы.

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Привет сообществу. Коллега на работе пожаловался, что авира ПСС с рабочего стола не запускается и в трее её нет. Надо сказать, что ключ на ней закончился с месяц назад, а интернетом продолжали пользоваться. Ну и в результате- заблокированы диспетчер задач и редактор реестра. При попытка зайти в "Установку и удаление задач" выскакивало окно с ошибкой rundll32.exe и воспользоваться этой функцией нельзя было. Что сделал:
1. Загрузился с диска, запустил avptool. В результате найдено 15000 тел вируса, в основном в sistem-volume-information.
2. Почистил все папки темп и корзину атф-клинером.
3. Просканировал АВЗ-разблокировал заблокированное. Но вот с логами что то неясное.Скачивал базу с сайта Олега, там последнее добавление-21.08.2010. А в логе фигурирует-8.07.2010. И в какой то теме я эту цифирь видел.:(
4.Хиджака тоже запускал, но пока фиксить не стал.
5. Кода смотрел отчёт каспера, увидел, что был вылечен файл вида rundll32.exe.tmp. В оси галочка "Скрывать расширение для известных типов файлов"-стояла по умолчанию.
6.Мбам на быстой проверке ничего не нашла.
7. Поставил на ночь проверяться cureit.
8. Далее к компу получу доступ только завтра, ибо он на работе.
9. Диск с дистрибутивом системы отсутствует, СП3 пока не стал ставить.
 

Вложения

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
Влачер, Привет. :) Sality + Kido


HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - HKLM\..\Run: [GEST] m‘|\ь
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\fjmmtn.sys','');
 QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe','');
 DeleteFile('c:\windows\system32\drivers\fjmmtn.sys');
 DeleteFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe');
 DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Drongo,
строка из лога хиджака
O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll (file missing)
http://www.prevx.com/filenames/3113187289820733334-X1/TBCORE3.DLL.html
Сильно смахивает на левый тулбар (а по сути тоже троян:mad:), уже 2 раза эта кака попадалась у знакомых, имя dll всё время меняется, а суть таже:mad:
icotonev, знакомый раздел:yess: вот только веб стал ужас как долго сканировать. Честно сказать, я его не один раз запускал.1 раз стартовал в каком то особом режиме, когда только веб пашет, а всё остальное не активно. Нашёл модификацию 5 сектора в 1 файле. А уж потом на ночь поставил.
Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?:sorry:
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
icotonev, Файловый вирус неактивен уже, так что AVZ его возьмёт легко. :)


Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?
Там, на компе, у вас кидо, и оно похуже не нужного алкоголя, давайте удалим явные вирусы, потом разберёмся с легальными, но не нужными прогами, пусть хозяин деинсталирует алкоголь через установку\удаление программы.
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Drongo, ошибка с rundll32.exe вываливалась ежеминутно. Это изза узкоплёночного червяка?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Реакции
5,565
Баллы
808
Влачер, Вы скрипт выполнили? Логи gmer сделали? Я не вижу результатов выполнения.
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Drongo, п.8 первого поста, извиняюсь:thank_you2::mda:
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Гмером ничего не вышло- вышибает в момент экспресс-проверки. 3 скрипт с 1 раза не вышел- всё повисло в процессе выполнения. Потом сработал. В функции панели управления по прежнему не зайти, ошибка всё та же. Сureit отработал- нашёл около 70 штук 5-х секторов в системном восстановлении на диске С.
Пофиксить не получилось-эта строка после скрипта исчезла. Карантин сейчас отправлю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Ни одного драйвера Kido не вижу.

Можешь деинсталировать диамон тулз? После этого попробуй запустить Gmer.

Как удалить Net-Worm.Win32.Kido (Conficker)

Добавлено через -2 секунд
Vba32 AntiRootkit - деинсталируй драйвер
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
akoK, vba32 деинсталлировал. Daemon не могу- в установку и удаление не зайти-мешает ошибка rundll32
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Тогда давай перейдем к удалению Kido
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
akoK, ОК- с чего начнём? если сегодня не успеем до 16, то продолжение лечения будет только в понедельник, ну а комп останется на работе.
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Сделал логи осама, как на сайте написано: до и после.
Скрин почему то не могу сделать. Он вроде в формате bmp должен быть.Но не создаётся ни в какую. Как скопирповать текст из отчёта об ошибке?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Молодец. Повтори логи AVZ и RSIT
 

Влачер

Активный пользователь
Сообщения
106
Реакции
145
Баллы
453
Все 3 лога в одном архиве
Поставил СП3 и патчи 44 и 87. Ошибка rundll32 ушла.Заходит в "Установку и удаление". Но безопасный режим не пашет. Твики "после салити" уже только в понедельник смогу применить. Комп остаётся на работе. До понедельника, коллеги. Спасибо
 

Вложения

  • 49.8 KB Просмотры: 3
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,298
Реакции
13,321
Баллы
2,203
Не вижу ничего вредоносного.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу