 |
|
|
09.06.2009, 11:03
|
#1 (ссылка) |
|
Новичок
Регистрация: 09.06.2009
Сообщений: 2
Репутация: 0
|
Последствия заражения вирусом "Sality"
Здрасьте. После вирусной атаки, любые сайты интернета перестали загружаться. После лечения компа вроде все нормально. Но хотелось бы узнать все ли в порядке. Вот логи AVZ http://slil.ru/27741290 .
Для информации: удалил более 3000 вирусов, было около 700 штук Sality. Спасибо. |
|
|
09.06.2009, 11:21
|
#3 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Чайник2,
Запустите avz:Файл-Выполнить скрипт- в открывшееся окно вставьте внимательно!!! текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe');
DeleteService('pfsvgae');
DeleteService('aic32p');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe');
DeleteFile('C:\DOCUME~1\76F4~1\LOCALS~1\Temp\CmdLineExt03.dll');
DeleteFile('C:\WINDOWS\system32\drivers\inohln.sys');
DeleteFile('C:\DOCUME~1\76F4~1\LOCALS~1\Temp\pfsvgae.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DelAutorunByFileName('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DelCLSID('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки вставьте CD диск с дистрибутивом Windows в CDROM и сделайте так: Пуск- Выполнить- введите команду sfc /scannow запустите. По окончании перезагрузитесь. Кроме того вам придеться проверить корректность работы многих программ, так как файловый вирус Sality "специализируется" на повреждении exe файлов. Какие то программы придеться восстановить, а какие то переустановить. 
|
|
|
|
09.06.2009, 11:34
|
#4 (ссылка) | |
|
Новичок
Регистрация: 09.06.2009
Сообщений: 2
Репутация: 0
|
Спасибо 01pump, шас попробую. А sfc /scannow я уже делал, может повторить?
Цитата:
|
|
|
|
|
09.06.2009, 11:37
|
#5 (ссылка) | ||
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
 Цитата:
|
||
|
|
|
09.06.2009, 12:33
|
#7 (ссылка) |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Чайник3, Чайник2,
Выполнить в avz: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe');
DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DelAutorunByFileName('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelCLSID('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DeleteFileMask('%Tmp%', '*.*', true);
BC_DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe');
BC_DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
PS Для лечения использовали Cureit от Drweb или что то другое? Последний раз редактировалось 01pump; 09.06.2009 в 12:41. |
|
|
|
09.06.2009, 13:56
|
#8 (ссылка) |
|
Новичок
Регистрация: 09.06.2009
Сообщений: 1
Репутация: 0
|
Это опять я, бывший Чайник2.
Вот лог http://slil.ru/27741917 . Для лечения использовался Cureit от Drweb, AVZ, SalityOff. |
|
|
| Ads | |
|
09.06.2009, 14:21
|
#10 (ссылка) | ||
|
Специалист
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
|
Цитата:
Цитата:
C:\WINDOWS\system32\Drivers\a347bus.sys Подозрение на RootKit Перехватчик KernelMode C:\WINDOWS\system32\Drivers\sptd.sys Подозрение на RootKit Перехватчик KernelMode 
|
||
|
|
|
09.06.2009, 14:25
|
#11 (ссылка) | |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
|
|
|
|
|
09.06.2009, 14:51
|
#14 (ссылка) | |
|
Специалист
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
|
Цитата:
Теперь буду знать , что если так написано , то это не всегда можно принимать во внимание |
|
|
|
|
11.04.2010, 22:48
|
#15 (ссылка) |
|
Эксперт
Регистрация: 31.03.2009
Сообщений: 12,892
Репутация: 998
|
Сегодня тоже воевал с Sality , вредный гад
 да ещё привод у пациента не все диски кушает, думаю зловред погрыз что-то. Ну это ладно, перепрошивка должна помочь ( ну я надеюсь во всяком случае ) установил свежий аваст ( сам удивляюсь как получилось  , этот гад оказывается в оперативке висит ). Запустил загрузочное сканирование и прибил гада. Осталась пара вопросов: нужно ли делать скрипты авз и хаджека. Плюс к этому я вставлял флешку в больной комп, заразилась она или нет ? Упс, 3 вопроса что делать перед тем как вставить флешку в свой комп чтобы не поймать чего ? Может загрузиться с Live CD и просканить флешку, или этот гад всё равно пролезет ? Чего то я и в 3 вопроса не укладываюсь и почему эсет смарт секьюрити молчал я понимаю если бы он не запускался, но он запускался сканировал и молчал |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
