-
Junior Member
- Вес репутации
- 54
Ramnit.A / Rmnet
Здравствуйте.
Подхватил вот такую заразу. Что она делает:
- регулярно создает на сменных носителях autorun.inf (даже пытается что-то записать на дискету при ее отсутствии в дисководе)
- портит exe и dll файлы (к счастью почти все лечатся)
- редактирует все подряд htm/html файлы (CureIt! их потом уничтожает)
- загрузка ЦП почти все время под 100%
- испортились некоторые функции браузера (Opera), полное удаление и повторная установка ничего не изменили
- при старте в процессах появляется exe от браузера (opera.exe, когда удалил - IEXPLORE.exe)
- не уверен, но вроде как svchost'ов после заражения стало на 1 больше
// банальное закрытие последних двух ни к чему не приводит
Уже третий день пытаюсь избавится от него... Сначала прошелся по всему NOD'ом - он расправился только с "последствиями", излечив зараженные файлы. Потом в безопасном режиме с отключеным восстановлением системы DrWeb'ом CureIt! - опять только лечение.
Также пытался искать в интернетах какую-либо информацию по избавлению от этой заразы - почти ничего, а что и было - заканчивалось переустановкой ОС, а мне этот вариант, увы, не подходит.
Больше всего мне понравилось пока вот это, хоть там и нет решений проблемы, но есть подробная информация о самом вирусе (где он зарывается и т.п.).
Очень надеюсь на вашу помощь. 
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile(GetAVZDirectory + 'avz.exe','');
QuarantineFile('c:\program files\microsoft\desktoplayer.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
-
-
Junior Member
- Вес репутации
- 54
-
Файловый вирус лучше всего лечить загрузившись с CD диска.
Свежий DrWeb LiveCD должен помочь http://www.freedrweb.com/livecd.
Сразу после лечения установите на Windows Service Pack 3 (может потребоваться активация) и последующие обновления.
Распакуйте AVZ.exe заново из архива. Обновите базы AVZ.
Сделайте новые логи и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
LiveCD не помог. Т.е. он удалил только оставшиеся файлы вируса, реестр же вылечен не был.
Но тем не менее проблема почти решена. Осталось только два момента:
- создание левого процесса svchost.exe при запуске системы
- повисание браузеров при запуске и, пусть и довольно редкое, торможение их при работе
Логи прикрепил.
-
LiveCD помог, вируса больше нет.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из протокола AVZ и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 54
Таки да, после еще одной перезагрузки все наладилось.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Выполнил, но лога нет. Видимо потому что:
"Часто используемые уязвимости не обнаружены"
Всем спасибо за помощь! Проблема решена.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft\desktoplayer.exe - Packed.Win32.Krap.ar ( DrWEB: Win32.Rmnet.1, BitDefender: Gen:Variant.Koobface.1, AVAST4: Win32:Malware-gen )
-
