Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   полиморф virut.56 (http://forum.oszone.net/showthread.php?t=152010)

Thalarion 01-10-2009 16:04 1232014
полиморф virut.56
 
Вложений: 1
Добрый день, уважаемые форумчане! Уже неделю сражаюсь с такой вот дрянью и ничего не помогает. Он вроде сначала убивается, но потом находится снова, например CureIt-том. Без посторонней помощи, чувствую, не справлюсь...
почему-то от avz архив не прикрепляется 17кб, пишет что квота превышена, поясните, может я туплю)

thyrex 01-10-2009 17:13 1232074
Попробуйте пролечиться так http://virusinfo.info/showpost.php?p=306441&postcount=2
Скачивать и записывать образ на диск нужно на чистой машине

Thalarion 01-10-2009 17:34 1232095
попробуемс, о результатах отпишу...хотя мне кажется, что что-то подобное я уже юзал...эта штука выдает багрепорт, не вкурсе?

Thalarion 04-10-2009 23:11 1234547
вроде помогло, потом несколько тестов погнал - все чисто. Премного благодарен

Drongo 05-10-2009 13:56 1234917
Thalarion, Для перестраховки, логи не помешали бы. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Thalarion 05-10-2009 16:48 1235018
а не крепятся логи, хоть ты тресни) я уже и с бубном сплясал. +комп был возвращен законному владельцу блондинистой наружности. Будем надеяться на лучшее. P.S.: да, я понимаю, что так не работают, но я больше не мог)

Thalarion 06-10-2009 16:26 1235884
Вложений: 1
Эх, говорили мне умные люди использовать контрацептивы при случайных связях...вобщем всплыла эта зараза уже на моей машине, хз как, но факт остается фактом. Dr.Web Live CD пользы не особо то принес, хотя пыхтел долго, CureIT кажет заразу, винда наполовину осыпалась (хрен бы с ней, по большому счету, а три винта форматить ох как нельзя). Снял логи и опять прошу помощи с нижайшим поклоном

Drongo 06-10-2009 18:11 1235976
Thalarion, Здравствуйте. :) А в чём проявляется заражение вашего компьютера?
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

Я полагаю, что эта программа вам известна - G:\Проги\Разные-заразные\MKey 0.9.7.2\MKey\MKey.exe ?

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\VRTD.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\VRTB.tmp','');
 DeleteFile('C:\WINDOWS\Temp\VRTB.tmp');
 DeleteFile('C:\WINDOWS\Temp\VRTD.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.



• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь.

Цитата:
Цитата Thalarion
CureIT кажет заразу »
А что он кажет? :)

Thalarion 06-10-2009 19:22 1236064
Вложений: 1
Итак, парочка BSoD-ов и все удалось. CureIT определял все тот же virut.56, такое ощущение что он очищал, с позволения сказать, отростки, но не уничтожал сам исполняемый файл вируса и после ребута тот снова активизировался. Сделать сейчас контрольную проверку CureIT?

Drongo 06-10-2009 19:51 1236102
Thalarion, Что-то ничего не выходит, давайте-ка ещё один лог сделаем...

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Drongo 06-10-2009 20:10 1236118
Thalarion, Вынужден вас огорчить, но у вас файловый вирус, дата создания и дата изменения системных файлов отличаются. Заражение произошло. :( Единственный разумный способ это проверка LiveCD, но скачивать и записывать его нужно на заведомо здоровом компьютере.

Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Как работать с утилитой CureIT! можно прочитать в теме - Как лечить файловый вирус

Thalarion 06-10-2009 20:39 1236142
Drongo, я конечно попробую, но CureIT я вроде со здоровой машины писал...хотя я уже ни в чем не уверен. Ваш предыдущий пост не выполнять в таком случае? Кстати, я сильно неуверен, но у меня системное время в биосе слетало, может это как-то повлияло.

thyrex 06-10-2009 21:05 1236165
Цитата:
Цитата Thalarion
Dr.Web Live CD пользы не особо то принес, хотя пыхтел долго »
А вы режим лечения выбирали? Просто быть такого не может, что LiveCD лечил и недолечил, т.к. он не задействует потенциально зараженные системные файлы

Thalarion 06-10-2009 21:10 1236169
Thyrex, умом-то я это понимаю. Но я как загрузил его в сейф моде, там в меню была только одна строчка, без вариантов сканирования, типа DrWeb Scanner, он и пошуршал на сутки, а потом как-то закончил без багрепорта без ничего и все. Может я чего-то недопонял

thyrex 06-10-2009 21:25 1236184
После загрузки с LiveCD, можно выбрать, что делать дальше и, запустив сканер, можно настроить параметры сканирования. Сейчас под рукой у меня диска нет, чтобы сказать поточнее

Drongo 06-10-2009 21:32 1236197
Цитата:
Цитата Thalarion
Ваш предыдущий пост не выполнять в таком случае? »
Нет, не выполняйте.
Цитата:
Цитата Thalarion
Кстати, я сильно неуверен, но у меня системное время в биосе слетало, может это как-то повлияло. »
Это не причём, понимаете, файловый вирус, он записывается в свободные участки в исполнимых файлов или в конец, или в начало, в общем же это и есть файл изменён, тоесть изменён файловым вирусом, соответствено изменяется и дата изменения файла.


Время: 18:02.

Время: 18:02.
© OSzone.net 2001-