Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Нужна помощь в лечении зверя - Win32 Sector 12 (http://forum.oszone.net/showthread.php?t=173101)

Balamoot 14-04-2010 13:20 1392278
Нужна помощь в лечении зверя - Win32 Sector 12
 
Доброго времени суток, Уважаемые Хэлперы. Требуется квалифицированная помощь...
Использую в повседневной жизни 3 компа - на работе, дома и у своей подруги. И все три оказались заражены зловредным Win 32 Sector 12. Но начну пожалуй с рабочей машины, ибо наиболее важен.
Следовал рекомендациям. В безопасный режим не выходит. В нормальном свежий Cureit постоянно ловит этот вирус, лечит, но зверь появляется вновь. Скачать проги рекомендуемые не получается - похоже вирус не пускает. Получилось запустить полиморфный AVZ c сылки у кого-то их хэлперов. Логи он не делает. Прилагаю только текстовый протокол. HijackThis тоже не качается... Заранее спасибо...

Прошу некоторое время, ибо после очередного лечения Cureit-ом получилось скачать дистрибы AVZ и HijackThis. Сейчас просканю и прикреплю логи...

Balamoot 14-04-2010 13:40 1392294
Хех... всё оказалось не так просто. AVZ открылся и сразу закрылся... так дважды, после чего перестал запускаться... ))) Зараза хитрая... Выкладываю логи полиморфного AVZ. Если что то не так сделал (я чайничек) - исправлюсь, только напишите что сделать

Balamoot 14-04-2010 13:58 1392314
Мать перемать!!!! Почему то не работает функция на страничке "прикрепить файл"... все кнопочки работают, а это нет... Хэлперы - отпишитесь плиззз, а я вам личкой перешлю логи...

akok 14-04-2010 14:00 1392315
Как лечить файловый вирус

Balamoot 14-04-2010 14:05 1392323
Это конечно чудно, Akok, про "как лечить файловые вирусы"но SafeMode не запускается... )))

Блин... Вроде всё сделал согласно рекомендациям - но не могу выложить сюда логи... вот задница то... )

akok 14-04-2010 14:24 1392345
Balamoot, там несколько методик. Скорее всего необходимо будет работать с LiveCD.

Balamoot 14-04-2010 14:29 1392352
их там всего две и они мне не подходят...

Drongo 14-04-2010 14:39 1392368
Цитата:
Цитата Balamoot
Блин... Вроде всё сделал согласно рекомендациям - но не могу выложить сюда логи... вот задница то... ) »
Давайте без "задниц" и прочего. Залейте логи на файлообменник - www.webfile.ru

Balamoot 14-04-2010 14:56 1392387
Прошу прощения за брань... Эмоции через край. )))
http://webfile.ru/4425455
http://webfile.ru/4425458
http://webfile.ru/4425462

Вот логи: две верхние ссылки - AVZ, нижняя лог от HijackThis.
Всё... С работы убегаю с надеждой на ответ... Буду завтра...

Drongo 14-04-2010 15:58 1392450
Balamoot, Пока выполните этот скрипт

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - Startup: D9945D.lnk = C:\WINDOWS\system32\C93778\D9945D.EXE
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\nnmkjs.sys','');
 QuarantineFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp53\a0077121.exe','');
 QuarantineFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081492.exe','');
 QuarantineFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081513.exe','');
 QuarantineFile('d:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081297.exe','');
 QuarantineFile('C:\Avenger\winde32.exe','');
 QuarantineFile('C:\WINDOWS\system32\C93778\D9945D.EXE','');
 DeleteFile('C:\WINDOWS\system32\C93778\D9945D.EXE');
 DeleteFile('C:\Avenger\winde32.exe');
 DeleteFile('c:\windows\system32\drivers\nnmkjs.sys');
 DeleteFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp53\a0077121.exe');
 DeleteFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081492.exe');
 DeleteFile('c:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081513.exe');
 DeleteFile('d:\system volume information\_restore{8802a379-7b5e-4567-aab3-3c6d5cc35e76}\rp55\a0081297.exe');
 DeleteService('abp470n5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(17);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Дополнительно проверьте систему утилитой CureIT или Kaspersky Virus Removal Tool

после чего, обновите базы в AVZ и повторите логи.

Цитата:
Цитата Balamoot
их там всего две и они мне не подходят... »
чем указаные методики не подходят?

Balamoot 15-04-2010 12:10 1393175
Доброго времени суток. Выполнил рекомендованные процедуры/cкрипты в HiJackThis и AVZ. Отправил карантин. Получилось скачать Касперсвого и Курейта. Теперь проверяю Касперским... Уже три часа проверяет, периодически видит Win32.Sality.aa и лечит его... После проверки просканю и выложу логи...

Drongo 15-04-2010 12:37 1393197
Цитата:
Цитата Balamoot
После проверки просканю и выложу логи... »
Дополнительно Воспользуйтесь графической оболочкой для SalityKiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение SalityKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Отключить автозапуск со всех носителей
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Sality].txt прикрепите его к сообщению.

Balamoot 15-04-2010 15:00 1393309
Итак... Отчитываюсь: Касперский работал, работал, лечил мне Sality.aa, но на втором (и последнем) локальном диске застопорился в папке System Volume Information (SVI). Ждал часа три - он не сдвинулся. Запустил по рекомендации уважаемого Drongo Sality Killer (но без оболочки, просто эксзешник, поэтому логи он не создал) который вылечил около 800 объектов в целом и эту папку SVI в том числе. Сейчас работает Cureit - пока всё чисто (примерно на 80% ). Лаборатория Касперского отписалась, что "файлы в процессе обработки". Через 5 минут выкладываю логи AVZ и HiJackThis.

Drongo 15-04-2010 15:42 1393349
Цитата:
Цитата Balamoot
Запустил по рекомендации уважаемого Drongo Sality Killer (но без оболочки, просто эксзешник, поэтому логи он не создал »
Объясняю последствия в этом случае. После Sality даже если антивирусные утилиты их пролечат, нет гарантии что лечение\удаление вредоносного кода было выполнено успешно и будет такая программа лешать мёртвым грузом, пока пользователь не надумает запустить её, вот тогда и окажется, что прога не запускается, инсталятор повреждён. Но это уже забота пользователя. Вот этот лог был бы хорошим подспорьем для проверки, того что оказалось заражённым и попало в список. А логи ждём. :)

Balamoot 15-04-2010 15:57 1393359
Вложений: 1
Похоже AVZ-шка опять нашла кучу всего. Но вам виднее. Вот логи... Жду с нетерпением диагноза... ))

Drongo 15-04-2010 17:37 1393465
Balamoot, Это контрольные точки и карантин Dr.Web'a. Контрольные точки нужно удалить.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Как это сделать, подробно можно прочитать в этой теме.

После чего, обновите базы AVZ, так как у вас старые
Цитата:
Внимание !!! База поcледний раз обновлялась 31.03.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
И повторите логи.

thyrex 15-04-2010 17:58 1393471
Цитата:
Цитата Drongo
После чего, обновите базы AVZ, так как у вас старые »
Просьба невыполнима :)
Цитата:
Протокол антивирусной утилиты AVZ версии 4.32 private build
Это последний полиморф. А базы в нем, как известно, не обновляются

Да и не смог бы обычный AVZ запуститься при наличии Sality ;)

Drongo 15-04-2010 19:22 1393511
thyrex, Спасибо, не заметил. :)

Balamoot 16-04-2010 13:25 1394026
Вложений: 1
Добрый день, всем. Итак... Почистил комп с помощью ATF Cleaner-а, убрал точки восстановления. Без проблем смог скачать нормальный AVZ. Теперь выкладываю логи и жду ваших комментариев.
Да... с лаборатории Касперского всё ещё не отписались... ждем-с...

thyrex 16-04-2010 13:38 1394038
Порядок.

Цитата:
Цитата Drongo
контрольные точки и карантин Dr.Web'a. Контрольные точки нужно удалить. »
Очистите папку C:\Documents and Settings\arzamascev_v\DoctorWeb\Quarantine

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый

Drongo 16-04-2010 14:35 1394079
Balamoot, Если проблем больше нет - отмечайте тему решённой.

Balamoot 17-04-2010 10:28 1394665
Вроде проблем больше нет... )))) Drongo, спасибо вам огромное... Тему конечно отмечу решённой, но если вы не против на следующей неделе создам ещё одну с такой же проблемой на другом компе (домашний)... Ведь скрипты должны быть другими?? )

Drongo 17-04-2010 13:36 1394779
Цитата:
Цитата Balamoot
если вы не против на следующей неделе создам ещё одну с такой же проблемой на другом компе (домашний)... Ведь скрипты должны быть другими?? ) »
Конечно, так и нужно, одна тема - одно лечение.


Время: 21:50.

Время: 21:50.
© OSzone.net 2001-