Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Зачистка после Virut'а (http://forum.oszone.net/showthread.php?t=285849)

rzdpasha 31-07-2014 18:53 2383767
Зачистка после Virut'а
 
Вложений: 1
Приветствую уважаемое сообщество. Обратился давно знакомый клиент, у которого при загрузке ОС возникали окна с ошибками drwtsn32.exe, MOM.exe. MOM.exe вроде как однозначно указывает на CCC (видеокарта в комп-ре AMD), переустановить который вместе с драйверами на ВК всегда успеется. Сканирование при помощи KRD выявило 128 вредоносных гадов, последующее сканирование из безопасного режима при помощи DrWeb CureIt позволило нейтрализовать ещё 5 штук. На машине установлен (уже снёс) Касперский Яндекс-версия 2012, лицензия которого неизвестно с каких пор истекла, и, соответственно, базы не обновлялись. Попутно клиент самостоятельно установил что-то из Mcafee security scan, несмотря на то, что в системе уже был антивирусный продукт. Помнится однажды я так и не поборол Virut'а, впервые навязал клиенту переустановку ОСи, но теперь-то антивирусные продукты в этом плане должны "повзрослеть" и помочь произвести тотальную "зачистку" )). Прошу проинспектировать логи. Заранее спасибо.

iskander-k 31-07-2014 22:19 2383840
Цитата:
Цитата rzdpasha
Зачистка после Virut'а »
Для вирута есть спец утилита http://support.kaspersky.ru/viruses/...on/2735#block1
проверьтесь ею- похоже вирус еще живой .

rzdpasha 01-08-2014 08:43 2383971
Прогнал VirutKiller'а на проблемном комп-ре из-под безопасного режима, утилита отчиталась, что заражений нет. :unsure:

Sandor 01-08-2014 09:12 2383985
Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\DOCUME~1\EB33~1\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe','');
 QuarantineFile('C:\Documents and Settings\Светлана\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','');
 DeleteFile('C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe','32');
 DeleteFile('C:\DOCUME~1\EB33~1\LOCALS~1\Temp\Adobe\Reader_sl.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. В свойствах ярлыков
Цитата:
C:\Documents and Settings\Светлана\Рабочий стол\Yandex.lnk
C:\Documents and Settings\Светлана\Application Data\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
в поле Объект удалите
читать дальше »
(http://www.vash-biznes.net)

Путь к файлу переименуйте из
Цитата:
C:\Documents and Settings\Светлана\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url
в
Цитата:
C:\Documents and Settings\Светлана\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe
При необходимости на вкладке Общая снимите галочку Только чтение.

4.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

rzdpasha 01-08-2014 14:11 2384102
Вложений: 1
Всё сделано. Один момент: в свойствах ярлыков C:\Documents and Settings\Светлана\Рабочий стол\Yandex.lnk
C:\Documents and Settings\Светлана\Application Data\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk в поле "Объект" лишнего не было.

Sandor 01-08-2014 14:14 2384104
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите логи по правилам.

rzdpasha 01-08-2014 14:35 2384116
Вложений: 1
Сделано.

Sandor 01-08-2014 16:16 2384156
Выполните скрипт в АВЗ (Файл - Выполнить скрипт - запускать AVZ обязательно правой кнопкой от имени администратора):
Код:
begin
 DeleteFile('C:\DOCUME~1\EB33~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
 ExecuteSysClean;
 ExecuteRepair(9);
 RebootWindows(false);
end.
Компьютер перезагрузится.

Еще раз повторите логи.

Что с проблемой?

rzdpasha 01-08-2014 16:47 2384165
Я думаю, что всё нормально. В любом случае последнее слово за клиентом)) Осталость CCC из пакета драйверов на ATI переустановить, поскольку единственное возникающее окно сразу при загрузке ОСи - mom.exe. Остальные более не появляются.

Sandor 01-08-2014 16:52 2384170
В логах порядок.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

rzdpasha 01-08-2014 17:06 2384180
Спасибо за помощь.
-------------------------------
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 01.08.2014 19:05:25
Run directory: C:\Documents and Settings\Светлана\Local Settings\TEMP\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionLocal: 7.8
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 03.02.2014 15:11:31
Системный диск: C:\ ФС: NTFS Емкость: [50 Гб] Занято: [16.1 Гб] Свободно: [33.9 Гб]
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2014-07-26 13:01:52
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
Антивирус Касперского Яндекс-версия
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.8.150.1
-------------OtherUtilities-----------------------
CCleaner v.4.06
Foxit Reader v.6.0.4.719 Внимание! Скачать обновления
-------------Java---------------------------------
Java(TM) 6 Update 7 v.1.6.0.70 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u60-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 14 ActiveX v.14.0.0.145
Adobe Flash Player 14 Plugin v.14.0.0.145
-------------Browser------------------------------
Mozilla Firefox 31.0 (x86 ru) v.31.0 [+]
Yandex v.33.0.1750.13664 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.31.0.0.5310
C:\Program Files\Internet Explorer\iexplore.exe v.8.0.6001.18702
-------------EndLog-------------------------------

rzdpasha 02-08-2014 08:53 2384367
Тот же клиент привёз (ла) второй системный блок. Не мудрствуя лукаво первым делом поставил сканирование с KRD, с первых секунд обнаружились зловреды. Если позволите, логи выложу в этой теме, не хотелось бы создавать ещё одну. :wink:
P.S. Тем более, что и здесь Virut побывал.

iskander-k 02-08-2014 18:38 2384508
Новый комп новая тема.

По этому компу - желательно обновить указанное.

rzdpasha 03-08-2014 07:45 2384599
Обновим. Кроме того, я намекнул хозяевам обоих машин приобрести лицензионный антивирус, призадумались.
Раз новый комп - новая тема, значит эту тему можно закрывать.

iskander-k 03-08-2014 14:12 2384704
Бесплатный аваст вполне справляется - если пользоваться компом без фанатизма (не пытаться постоянно его заразить втыкая всё что попало без соблюдения элементарных правил.)


Время: 20:51.

Время: 20:51.
© OSzone.net 2001-