Решена Sality повеселился.

[Влачер]

Привет сообществу. Коллега на работе пожаловался, что авира ПСС с рабочего стола не запускается и в трее её нет. Надо сказать, что ключ на ней закончился с месяц назад, а интернетом продолжали пользоваться. Ну и в результате- заблокированы диспетчер задач и редактор реестра. При попытка зайти в "Установку и удаление задач" выскакивало окно с ошибкой rundll32.exe и воспользоваться этой функцией нельзя было. Что сделал:
1. Загрузился с диска, запустил avptool. В результате найдено 15000 тел вируса, в основном в sistem-volume-information.
2. Почистил все папки темп и корзину атф-клинером.
3. Просканировал АВЗ-разблокировал заблокированное. Но вот с логами что то неясное.Скачивал базу с сайта Олега, там последнее добавление-21.08.2010. А в логе фигурирует-8.07.2010. И в какой то теме я эту цифирь видел.
4.Хиджака тоже запускал, но пока фиксить не стал.
5. Кода смотрел отчёт каспера, увидел, что был вылечен файл вида rundll32.exe.tmp. В оси галочка "Скрывать расширение для известных типов файлов"-стояла по умолчанию.
6.Мбам на быстой проверке ничего не нашла.
7. Поставил на ночь проверяться cureit.
8. Далее к компу получу доступ только завтра, ибо он на работе.
9. Диск с дистрибутивом системы отсутствует, СП3 пока не стал ставить.

 

[Drongo]

Влачер, Привет. Sality + Kido


• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

O4 - HKLM\..\Run: [GEST] m‘|\ь

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\fjmmtn.sys','');
 QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe','');
 DeleteFile('c:\windows\system32\drivers\fjmmtn.sys');
 DeleteFile('c:\docume~1\86a9~1\locals~1\temp\weaecnr.exe');
 DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

[icotonev]

+ Drongo,

Как лечить файловый вирус

 

[Влачер]

Drongo,
строка из лога хиджака

O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll (file missing)

http://www.prevx.com/filenames/3113187289820733334-X1/TBCORE3.DLL.html
Сильно смахивает на левый тулбар (а по сути тоже троян), уже 2 раза эта кака попадалась у знакомых, имя dll всё время меняется, а суть таже
icotonev, знакомый раздел:yess: вот только веб стал ужас как долго сканировать. Честно сказать, я его не один раз запускал.1 раз стартовал в каком то особом режиме, когда только веб пашет, а всё остальное не активно. Нашёл модификацию 5 сектора в 1 файле. А уж потом на ночь поставил.
Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?

 

[Drongo]

icotonev, Файловый вирус неактивен уже, так что AVZ его возьмёт легко.

Drongo, там на компе алкоголь стоит, которым хозяин не пользуется. Нельзя ли и его скриптом удалить?

Там, на компе, у вас кидо, и оно похуже не нужного алкоголя, давайте удалим явные вирусы, потом разберёмся с легальными, но не нужными прогами, пусть хозяин деинсталирует алкоголь через установку\удаление программы.

 

[Влачер]

Drongo, ошибка с rundll32.exe вываливалась ежеминутно. Это изза узкоплёночного червяка?

 

[Drongo]

Влачер, Вы скрипт выполнили? Логи gmer сделали? Я не вижу результатов выполнения.

 

[Влачер]

Drongo, п.8 первого поста, извиняюсь:thank_you2::mda:

 

[Влачер]

Гмером ничего не вышло- вышибает в момент экспресс-проверки. 3 скрипт с 1 раза не вышел- всё повисло в процессе выполнения. Потом сработал. В функции панели управления по прежнему не зайти, ошибка всё та же. Сureit отработал- нашёл около 70 штук 5-х секторов в системном восстановлении на диске С.
Пофиксить не получилось-эта строка после скрипта исчезла. Карантин сейчас отправлю.

 

[akok]

Подготовь расширенный лог Vba32 AntiRootkit

 

[Влачер]

Вот лог

 

[akok]

Ни одного драйвера Kido не вижу.

Можешь деинсталировать диамон тулз? После этого попробуй запустить Gmer.

Как удалить Net-Worm.Win32.Kido (Conficker)

Добавлено через -2 секунд
Vba32 AntiRootkit - деинсталируй драйвер

 

[Влачер]

akoK, vba32 деинсталлировал. Daemon не могу- в установку и удаление не зайти-мешает ошибка rundll32

 

[akok]

Тогда давай перейдем к удалению Kido

 

[Влачер]

akoK, ОК- с чего начнём? если сегодня не успеем до 16, то продолжение лечения будет только в понедельник, ну а комп останется на работе.

 

[akok]

Пост 12:
Как удалить Net-Worm.Win32.Kido (Conficker)

Добавлено через 37 секунд
И скрин ошибки rundll32 сделай. После будем разбираться.

 

[Влачер]

Сделал логи осама, как на сайте написано: до и после.
Скрин почему то не могу сделать. Он вроде в формате bmp должен быть.Но не создаётся ни в какую. Как скопирповать текст из отчёта об ошибке?

 

[akok]

Молодец. Повтори логи AVZ и RSIT

 

[Влачер]

Все 3 лога в одном архиве
Поставил СП3 и патчи 44 и 87. Ошибка rundll32 ушла.Заходит в "Установку и удаление". Но безопасный режим не пашет. Твики "после салити" уже только в понедельник смогу применить. Комп остаётся на работе. До понедельника, коллеги. Спасибо

 

[akok]

Не вижу ничего вредоносного.