09.06.2009, 11:03 | #1 (ссылка) |
Новичок
Регистрация: 09.06.2009
Сообщений: 2
Репутация: 0
|
Последствия заражения вирусом "Sality"
Здрасьте. После вирусной атаки, любые сайты интернета перестали загружаться. После лечения компа вроде все нормально. Но хотелось бы узнать все ли в порядке. Вот логи AVZ http://slil.ru/27741290 .
Для информации: удалил более 3000 вирусов, было около 700 штук Sality. Спасибо. |
09.06.2009, 11:21 | #3 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Чайник2,
Запустите avz:Файл-Выполнить скрипт- в открывшееся окно вставьте внимательно!!! текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe'); DeleteService('pfsvgae'); DeleteService('aic32p'); DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe'); DeleteFile('C:\DOCUME~1\76F4~1\LOCALS~1\Temp\CmdLineExt03.dll'); DeleteFile('C:\WINDOWS\system32\drivers\inohln.sys'); DeleteFile('C:\DOCUME~1\76F4~1\LOCALS~1\Temp\pfsvgae.sys'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DelAutorunByFileName('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DelCLSID('{00A6FAF1-072E-44cf-8957-5838F569A31D}'); DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}'); ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(10); ExecuteSysClean; RebootWindows(true); end. После перезагрузки вставьте CD диск с дистрибутивом Windows в CDROM и сделайте так: Пуск- Выполнить- введите команду sfc /scannow запустите. По окончании перезагрузитесь. Кроме того вам придеться проверить корректность работы многих программ, так как файловый вирус Sality "специализируется" на повреждении exe файлов. Какие то программы придеться восстановить, а какие то переустановить. |
09.06.2009, 12:33 | #7 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Чайник3, Чайник2,
Выполнить в avz: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe'); DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe'); DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DelAutorunByFileName('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}'); DelCLSID('{00A6FAF1-072E-44cf-8957-5838F569A31D}'); DeleteFileMask('%Tmp%', '*.*', true); BC_DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe'); BC_DeleteFile('\Device\HarddiskVolume1\DOCUME~1\76F4~1\LOCALS~1\Temp\RarSFX0\2xjw9.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. PS Для лечения использовали Cureit от Drweb или что то другое? Последний раз редактировалось 01pump; 09.06.2009 в 12:41. |
09.06.2009, 13:56 | #8 (ссылка) |
Новичок
Регистрация: 09.06.2009
Сообщений: 1
Репутация: 0
|
Это опять я, бывший Чайник2.
Вот лог http://slil.ru/27741917 . Для лечения использовался Cureit от Drweb, AVZ, SalityOff. |
Ads | |
09.06.2009, 14:21 | #10 (ссылка) | |
Специалист
Регистрация: 05.02.2009
Сообщений: 9,227
Репутация: 321
|
Цитата:
C:\WINDOWS\system32\Drivers\a347bus.sys Подозрение на RootKit Перехватчик KernelMode C:\WINDOWS\system32\Drivers\sptd.sys Подозрение на RootKit Перехватчик KernelMode |
|
11.04.2010, 22:48 | #15 (ссылка) |
Эксперт
Регистрация: 31.03.2009
Сообщений: 12,892
Репутация: 998
|
Сегодня тоже воевал с Sality , вредный гад да ещё привод у пациента не все диски кушает, думаю зловред погрыз что-то. Ну это ладно, перепрошивка должна помочь ( ну я надеюсь во всяком случае ) установил свежий аваст ( сам удивляюсь как получилось , этот гад оказывается в оперативке висит ). Запустил загрузочное сканирование и прибил гада. Осталась пара вопросов: нужно ли делать скрипты авз и хаджека. Плюс к этому я вставлял флешку в больной комп, заразилась она или нет ? Упс, 3 вопроса что делать перед тем как вставить флешку в свой комп чтобы не поймать чего ? Может загрузиться с Live CD и просканить флешку, или этот гад всё равно пролезет ? Чего то я и в 3 вопроса не укладываюсь и почему эсет смарт секьюрити молчал я понимаю если бы он не запускался, но он запускался сканировал и молчал
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|