21.12.2011, 02:23 | #1 (ссылка) |
Новичок
Регистрация: 21.12.2011
Сообщений: 12
Репутация: 0
|
Не могу определить вирус... да и вирус ли это?
Здравствуйте!
Кратко описать не получится, очень много проявлений. Исчезли обои рабочего стола. Браузер Chrome при запуске сообщает, что "Вы запустили браузер с неподдерживаемой опцией командной строки -no--sandbox. Безопасность и быстродействие могут быть снижены." Браузер MSIE иногда после клика по ссылке: - просто закрываются все окна MSIE; - вдруг тормозит с загрузкой; - ничего не происходит (хотя ссылки хорошо знакомые, 1000 раз проверенные); - перезагружает страницу с сообщением типа: "Страница была восстановлена, потому что сервер потребовал перезагрузку" (обычно при запросе пароля на веб-странице). Некоторые проверенные странички (напр., www.ya.ru) иногда отображаются с ошибками. Многие инсталляционные программы сообщают об ошибке и закрываются. После подключения к корпоративной сети : - слетели права администратора; - пропал доступ к Microsoft Exchange. Штатный антивирус - Trend Micro OfficeScan, ничего не находит. Сделал загружаемую флешку с Касперским - нашёл и убил несколькюо вирусов во временных файлах интернета и в кэше Явы, больше нигде. Проверил ещё и Dr. Web CureIt - ничего. Корпоративные сисадмины пытались восстановить мне доступ к Exchange, вернуть права - но при попытке добавить меня в группу администраторов возникает ошибка, кажется, связанная с доступом к домену (хотя на домене я успешно регистрируюсь). Сдались, приговор: переинсталляция системы. Прогнал AVZ (антивирус отключить не могу, сорри - защищён паролем), логи здесь: http://vodnik.narod.ru/temp/avz.rar Посоветуйте, что делать? |
21.12.2011, 02:32 | #4 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Vodnik, в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":
Код:
begin SearchRootkit(true, true); DeleteService('mkdrv'); DeleteFile('C:\WINDOWS\kkhyu.sys'); DeleteFile('c:\windows\apppatch\kgwgwk.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteRepair(8); BC_Activate; RebootWindows(true); end. Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip. |
21.12.2011, 12:00 | #5 (ссылка) | |
Новичок
Регистрация: 21.12.2011
Сообщений: 12
Репутация: 0
|
Цитата:
Результат пока не ясен, тестирую. |
|
21.12.2011, 12:07 | #6 (ссылка) |
Эксперт
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
|
Vodnik, Вирусов уже нет, надо реестр от хвостов почистить. Выполните скрипт в AVZ:
Код:
begin DeleteFile('c:\windows\apppatch\kgwgwk.exe'); ExecuteSysClean; ExecuteWizard('TSW',3,3,true); RebootWindows(False); end. Код:
// Загружает актуальную версию следующего скрипта и выполняет его: { Скрипт AVZ для обнаружения наиболее часто используемых уязвимостей. Версия 1.37 Автор: Андрей Кондауров, участник форума defendium.info (AndreyKa) Скрипт может свободно распространяться, при условии сохранения данного комментария Постоянный адрес скрипта: http://dataforce.ru/~kad/ScanVuln.txt} begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. |
21.12.2011, 13:40 | #7 (ссылка) |
Новичок
Регистрация: 21.12.2011
Сообщений: 12
Репутация: 0
|
Уважаемый Vvvyg! Вы мне очень помогли!
Уже после выполнения первого скрипта заработал доступ к Exchange и сисадмин смог вернуть мне админские права! После второго установились обновления Windows. Третий нашёл уязвимости (см. ниже). Сейчас буду устранять. Подскажите, как называется зараза, которую я подцепил и что она делает? Поиск критических уязвимостей [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046} Уязвимости в Adobe Flash Player для Internet Explorer http://fpdownload.macromedia.com/pub/flashplayer/current/licensing/win/install_flash_player_11_active_x_32bit.exe Уязвимости в Adobe Flash Player для Firefox/Safari/Opera http://fpdownload.macromedia.com/pub/flashplayer/current/licensing/win/install_flash_player_11_plugin_32bit.exe Установите Adobe Reader X (10.1) или удалите старый. http://get.adobe.com/reader/otherversions Множественные уязвимости в Sun Java JDK и JRE. Деинсталлируйте старую версию и установите новую: http://www.java.com/ru/download/manual.jsp Обнаружено уязвимостей: 4 |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Помогите определить проблему, может вирус | CeBePIII | Безопасность | 18 | 09.07.2011 01:52 |
Помогите определить вирус. Авто открытие сайта в браузерах. | Elected | Безопасность | 20 | 28.03.2011 15:23 |
Помогите определить и вылечить вирус. | Vayleant | Безопасность | 15 | 22.03.2011 23:34 |
не могу удалить вирус | laxirous | Безопасность | 0 | 02.03.2010 13:22 |
Не могу удалить вирус | Максим Алексеенко | Безопасность | 11 | 24.09.2009 16:28 |