08.09.2008 11:21
До уваги користувачів локальної мережі ЗНУ!
Якщо ви відвідуєте сайти "В контакте" та "Одноклассники.ру", то ваш компьютер може бути заражений вірусом Trojan-Downloader.Js.Timul.CV.
Ознаки зараження: браузер намагається завантажити файл http://v.freefl.info/day.js.
Як знищити вірус:
У папці \\10.1.100.22\edrive\freefl.info\ знаходяться необхідні програми та інструкції.
1. Скачайте CureIt! - это бесплатная антивирусная утилита, которая позволяет проверить компьютер на наличие в нем инфицированных файлов и вылечить их без установки антивируса Dr.Web.
2. Если у Вас, у Вас по каким-то причинам не удаётся скачать CureIt!- тогда скачайте AVPTool.
3. Скачайте антивирусную утилиту AVZ . Даже, если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО ~2 Мb.
*Помимо обезвреживания вредоносного ПО утилита обладает широкими возможностями исследования системы: справка по работе с AVZ.
4. Скачайте последнюю версию HijackThis.
*Даже, если у Вас есть HijackThis, скачайте его заново, чтобы убедиться, что у Вас последняя версия. ~300kb.
В процессе выполнения потребуется перезагрузка - скачайте "Оффлайн версию рекомендаций"
Диагностика
1. Отключите восстановление системы (Приложение 1).
2. Очистите временные файлы.
3. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (Приложение 2). Перезагрузитесь в обычный режим.
* имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель, защищённый от записи) и запустить с него утилиту.
4. Распакуйте AVZ и HijackThis из архивов и поместите в новые отдельные папки.
* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.
Перед выполнением пунктов (5, 6, 7). Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
5. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.*
*После выполнения скрипта обязательно перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
7. Запустите HijackThis. Нажмите на кнопку "Do a system scan and save a logfile"
Пользователь добавил изображение
8. Создайте тему в ветке «Помощь при вирусном заражении», запакуйте логии (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log) в один архив, архив выложите на файлообменник, а в теме запостите ссылку на него.
Приложение 1. Как отключить восстановление системы (Windows Me/XP).
Windows XP: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Восстановление Системы" ("System Restore") и ставим галочку напротив "Отключить восстановление системы на всех дисках" ("Turn off System Restore on all drives"). Hажать "Пpименить" ("Apply"). Появится сообщение, предупреждающее об удалении всех точек восстановления - нажимаем "ОК".
Пользователь добавил изображение
Windows ME: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Быстpодействие" ("Performance") и нажимаем на кнопку "Файловая система" ("File System"). Затем закладка "Дополнительно" ("Troubleshooting"), ставим галочку напpотив "Запpетить Восстановление Системных файлов" ("Disable System Restore") и нажимаем "ОК". Появится предложение- перезагрузить Windows - соглашаемся.
Приложение 2. Как включить безопасный режим.
При появлении меню загрузки Windows нажимаем на клавишу "F8", чтобы на экране появилось меню дополнительных режимов загрузки. Теперь передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи "Safe Mode", нажимаем "Enter".
Во время лечения
Приложение 3. Как выполнить скрипт в AVZ
1. Открыть AVZ, нажать Файл => Выполнить скрипт.
2. В появившемся окошке программы вставить написанный для Вас скрипт
3. Нажать в AVZ кнопку- запустить.
Приложение 4. Как искать файлы при помощи AVZ.
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите имя файла, который необходимо прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы, которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место, на диске, где будет сохранён архив.
Возможные проблемы.
Бывают ситуации, когда невозможно провести анализ стандартными средствами.
Приложение 5. AVZ и/или HijackThis не запускаются.
Бывают ситуации, когда зловреды мешают запуску утилит диагностики (AVZ и HijackThis).
Для выхода из ситуации просто необходимо переименовать утилиты, во что-то нейтральное:
avz.exe и HijackThis.exe в
9090.bat
Tanchik.com
Trojan.cmd
Bdika.pif
Для тех, кто не знает: чтобы переименовать файл, нужно нажать на него правой кнопкой мышки и выбрать Переименовать (или Rename) затем напечатать новое название.
Для того, что бы этот метод сработал, необходимо удостовериться в одном, что стоит галка "Скрывать расширения для зарегистрированных типов файлов".
В папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.
Или просто переименовать в любом файловом менеджере.
Важно: не забудьте указать, что и во что переименовали в созданной вами теме.
Приложение 6. Если рекомендации в приложении 5. не помогли.
Да бывает и такое. Например, при заражении червем Bagle, то не обойтись без IceSword.
Скачать \скачать переименованный IceSword.
1. Создание логов:
Запустите программу.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.
2. Копировать файл:
Запустите программу.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу наберите произвольное имя файла, например malware.
3. Удалить файл:
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос подтверждения ответьте -"да".
Перезагрузите компьютер.
*** Обязательно нужно запускать данные программы с правами администратора. По умолчанию в Windows XP так и есть. В Windows Vista администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбрать Run As (Запустить от имени ), вставить имя и пароль администратора в появившемся окошке и нажать на OK
Спасибо за помощь в разработке akok.
Кратко о том что мы хотим увидеть.
1. Скачайте CureIt! и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
2. Скачайте антивирусную утилиту AVZ и последнюю версию HijackThis распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
4. Запустите AVZ и обновите базы (Файл - Обновление баз), отключитесь от нтернета.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
7. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Сохраните полученный лог.
8. Создайте тему в ветке «Помощь при вирусном заражении», запакуйте логии (virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log) в один архив, архив выложите на файлообменник, а в теме запостите ссылку на него.
