Решена Sality повеселился.

Статус
В этой теме нельзя размещать новые ответы.

Влачер

Участник
Сообщения
91
Реакции
140
Привет сообществу. Коллега на работе пожаловался, что авира ПСС с рабочего стола не запускается и в трее её нет. Надо сказать, что ключ на ней закончился с месяц назад, а интернетом продолжали пользоваться. Ну и в результате- заблокированы диспетчер задач и редактор реестра. При попытка зайти в "Установку и удаление задач" выскакивало окно с ошибкой rundll32.exe и воспользоваться этой функцией нельзя было. Что сделал:
1. Загрузился с диска, запустил avptool. В результате найдено 15000 тел вируса, в основном в sistem-volume-information.
2. Почистил все папки темп и корзину атф-клинером.
3. Просканировал АВЗ-разблокировал заблокированное. Но вот с логами что то неясное.Скачивал базу с сайта Олега, там последнее добавление-21.08.2010. А в логе фигурирует-8.07.2010. И в какой то теме я эту цифирь видел.:(
4.Хиджака тоже запускал, но пока фиксить не стал.
5. Кода смотрел отчёт каспера, увидел, что был вылечен файл вида rundll32.exe.tmp. В оси галочка "Скрывать расширение для известных типов файлов"-стояла по умолчанию.
6.Мбам на быстой проверке ничего не нашла.
7. Поставил на ночь проверяться cureit.
8. Далее к компу получу доступ только завтра, ибо он на работе.
9. Диск с дистрибутивом системы отсутствует, СП3 пока не стал ставить.
 

Вложения

Влачер, Привет. :) Sality + Kido


HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - HKLM\..\Run: [GEST] m‘|\ь

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\fjmmtn.sys','');
 QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe','');
 DeleteFile('c:\windows\system32\drivers\fjmmtn.sys');
 DeleteFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe');
 DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
 
Drongo,
строка из лога хиджака
O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll (file missing)
http://www.prevx.com/filenames/3113187289820733334-X1/TBCORE3.DLL.html
Сильно смахивает на левый тулбар (а по сути тоже троян:mad:), уже 2 раза эта кака попадалась у знакомых, имя dll всё время меняется, а суть таже:mad:
icotonev, знакомый раздел:yess: вот только веб стал ужас как долго сканировать. Честно сказать, я его не один раз запускал.1 раз стартовал в каком то особом режиме, когда только веб пашет, а всё остальное не активно. Нашёл модификацию 5 сектора в 1 файле. А уж потом на ночь поставил.
Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?:sorry:
 
icotonev, Файловый вирус неактивен уже, так что AVZ его возьмёт легко. :)


Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?
Там, на компе, у вас кидо, и оно похуже не нужного алкоголя, давайте удалим явные вирусы, потом разберёмся с легальными, но не нужными прогами, пусть хозяин деинсталирует алкоголь через установку\удаление программы.
 
Drongo, ошибка с rundll32.exe вываливалась ежеминутно. Это изза узкоплёночного червяка?
 
Влачер, Вы скрипт выполнили? Логи gmer сделали? Я не вижу результатов выполнения.
 
Гмером ничего не вышло- вышибает в момент экспресс-проверки. 3 скрипт с 1 раза не вышел- всё повисло в процессе выполнения. Потом сработал. В функции панели управления по прежнему не зайти, ошибка всё та же. Сureit отработал- нашёл около 70 штук 5-х секторов в системном восстановлении на диске С.
Пофиксить не получилось-эта строка после скрипта исчезла. Карантин сейчас отправлю.
 

Вложения

Ни одного драйвера Kido не вижу.

Можешь деинсталировать диамон тулз? После этого попробуй запустить Gmer.

Как удалить Net-Worm.Win32.Kido (Conficker)

Добавлено через -2 секунд
Vba32 AntiRootkit - деинсталируй драйвер
 
akoK, vba32 деинсталлировал. Daemon не могу- в установку и удаление не зайти-мешает ошибка rundll32
 
Последнее редактирование:
Тогда давай перейдем к удалению Kido
 
akoK, ОК- с чего начнём? если сегодня не успеем до 16, то продолжение лечения будет только в понедельник, ну а комп останется на работе.
 
Сделал логи осама, как на сайте написано: до и после.
Скрин почему то не могу сделать. Он вроде в формате bmp должен быть.Но не создаётся ни в какую. Как скопирповать текст из отчёта об ошибке?
 

Вложения

Последнее редактирование:
Молодец. Повтори логи AVZ и RSIT
 
Все 3 лога в одном архиве
Поставил СП3 и патчи 44 и 87. Ошибка rundll32 ушла.Заходит в "Установку и удаление". Но безопасный режим не пашет. Твики "после салити" уже только в понедельник смогу применить. Комп остаётся на работе. До понедельника, коллеги. Спасибо
 

Вложения

  • LOG.ZIP
    LOG.ZIP
    49.8 KB · Просмотры: 3
Последнее редактирование:
Не вижу ничего вредоносного.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу