День добрый.
Просмотрите плииз...
День добрый.
Просмотрите плииз...
1. Скачайте утилиту во вложении и запустите (в Vista (Windows 7) запускать от имени Администратора по правой кнопке мыши). Компьютер перезагрузится
2. Если в папке с утилитой появился файл drv.sys, запакуйте его и прикрепите к своему сообщению
3. Пофиксите в Hijack
4. Сделайте новые логиКод:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
Последний раз редактировалось thyrex; 04.04.2010 в 22:42.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Необходимо загрузиться с любого загрузочного CD, позволяющего выполнять операции с файлами на жестком диске, и выполнить следующие действия:
1. Файл C:\Windows\System32\Drivers\hidusb.sys переименовать например в baddrv.sys.
2. Файл drv.sys, который вы прикрепляли выше, скопировать в папку C:\Windows\System32\Drivers и переименовать в hidusb.sys.
Далее, перезагружайтесь в свою систему и
1. Запакуйте файл baddrv.sys в архив с паролем virus и пришлите по красной ссылке для карантина (вверху темы).
2. Сделайте лог syscheck (п.2 раздела Диагностика правил).
I am not young enough to know everything...
плииз, подскажите посоветуйте - какой и где Live CD лучше взять. ???
сделал.
baddrv - прикрепил
syscheck - сделал - прикрепил
Почему не пофиксили строку в HiJack? Выполните
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
странно фикслал, всё делал поэтапно как и говорили,
может, что-пропустил - сейчас пару ми и повторю
Логи сначала....
Пофиксите в HijackThis:
Как это правильно делать, читайте тут:Код:F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
http://virusinfo.info/showthread.php?t=4491.
Больше ничего плохого в логах нет.
I am not young enough to know everything...
Спасибо
Сорри, уточнение,....
а в логах такой текст и должен быть - что-то неспокойно (пару цитат):
===========
.....
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022655->763672D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7602268C->7636733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226C3->76367C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->760226FA->76365F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022732->76365E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022766->763671C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->76022799->76366B9D
.....
+++++++++++++
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dllavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B10->6E7B29DD
Функция netapi32.dllavDeleteConnection (2) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B29->6E7B181B
Функция netapi32.dllavFlushFile (3) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B45->6E7B1713
Функция netapi32.dllavGetExtendedError (4) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B5A->6E7B2347
Функция netapi32.dllavGetHTTPFromUNCPath (5) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B76->6E7B275B
Функция netapi32.dllavGetUNCFromHTTPPath (6) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3B94->6E7B257D
Функция netapi32.dllsAddressToSiteNamesA (7) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BB2->75334A4D
Функция netapi32.dllsAddressToSiteNamesExA ( перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BD1->75334D79
Функция netapi32.dllsAddressToSiteNamesExW (9) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3BF2->75335049
Функция netapi32.dllsAddressToSiteNamesW (10) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C13->75334C29
Функция netapi32.dllsDeregisterDnsHostRecordsA (11) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C32->75336DD9
Функция netapi32.dllsDeregisterDnsHostRecordsW (12) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C57->75336D59
Функция netapi32.dllsEnumerateDomainTrustsA (13) перехвачена, метод ProcAddressHijack.GetProcAddress ->73BF3C7C->75336771
.....
++++
Функция NtAdjustPrivilegesToken (0C) перехвачена (82C5E875->8703EBD0), перехватчик C:\Windows\system32\DRIVERS\klif.sys,.....
++++
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 432)
Маскировка процесса с PID=448, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 44
Маскировка процесса с PID=504, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 504)
Маскировка процесса с PID=564, имя = ""
.......
+++++
7. Эвристичеcкая проверка системы
>>> C:\Windows\wt\webdriver\webdriver.dll ЭПС: подозрение на Spy.WindTangent
......
и т.д.
================================================== ================
что не даёт покоя
- система ну очень долго стартует
- в логах AVZ - чересчур много красных строк - если делать стандартные скрипты но скан. проходит до конца
- если делаю просто сканирование системы в AVZ - строки которые красные (перехавтчики... + ... ) AVZ пишет что вроде как нейтрализует
=========== к примеру
Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->760224B5->75B5193A
Перехватчик advapi32.dll:AddMandatoryAce (1029) нейтрализован
........... и.т.д. по всем.
==================, но проверка до конца не проходит, выкидывает какую-то ошибку - и останавливается почти в конце сканирования, и дальше AVZ повисет... (((
P/S.
собственно логи те же что и выше - только строку F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userin it.exe, - КИКНУЛ.....
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \baddrv.sys - Rootkit.Win32.ZAccess.cg ( DrWEB: Trojan.Winlock.569 )
Уважаемый(ая) Andy_skif, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.