/index.htm : infected with VBS.PackFor
/RQDP/index.html : infected with VBS.PackFor
итд
при проверке других моих сайтов оказалось, что многие файлы
index.htm,index.htmд,index.php заражены - в начало добавлена строчка
<script language=JavaScript>function sban(x){var l=x... blah blah...
при проверке AVZ этих файлов никаких предупреждений не выдается.
означает ли это, что какой-то троян упер пароли к ftp и отредактировал эти файлы или он это сделал как-то по другому?
2. Пытался провести проверку спомощью AVZ (v 4.25 ,база от 16.06)
В какой-то момент выскакивает bsod (или что там под XP)
на котором только можно разобрать
stop 0x0000008E
fastfat.sys address F845ACE6
Пришлось загрузиться в safemode там все нормально вылечилось.
в карантине помимо прочего secdrv.sys -7680b
ksys.sys - 3712
C:\WINDOWS\Temp\startdrv.exe - 19968
WBR, Andrew
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
создаются, и не один раз, поэтому последний уже пустой, все пофикшено.
из интересного только
-------
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
-------
имеется в виду avz_log.txt, а в карантине что-то есть конечно.
сейчас попробую hijack еще запустить и лог заслать.
Спасибо за ссылку, ну я так и думал, что троян через фтп правит файлы. К паролям на фтп добавил пару букв, которые буду добивать вручную к старым паролям которые вписаны в фтп клиенте.
Последний раз редактировалось drongo; 17.06.2007 в 10:51.
Запостите логи по правилам http://virusinfo.info/showthread.php?t=1235
По логу хайджека видны следы заражения.
Выполните пункт 2 правил в безопасном режиме.
АВЗ - AVZPM - установить - перезагрузиться, снова попытаться сделать логи.
Пофиксить:
ниасилил ;( В безопасном режиме тоже в какой-то момент выскочил bsod при выполнении первого скрипта.
Попробую вручную реестр прошерстить и пофиксить что вы сказали.
Спасибо.
Ну ситуация такая:
1. При попытке выполнить скрипты вываливается в синий экран (XP)
поэтому прислать логи не могу.
Перед тем как вывалиться успел заметить какие-то красные записи про руткит. Вообще наверное надо сохранять лог построчно, а не после завршения всей проверки. Тогда хоть следы останутся.
Это происходит также при попытке
запустить сервис AVZ "модули пространства ядра".
1.1 Прошелся drwebcure-it, нашел несколько троянов, всех поудалял.
лог есть.
2. Почикал все из реестра что смог.
Ветки сохранил, могу прислать.
3. В system32 нашел файлы со вчерашней позавчерашней датой.
sys, exe, dll. заархировал и удалил под досом.
среди них sysdrv1.exe .
Могу прислать архив.
При просмотре процессов присутствует строчка
System 4 ?? ошибка получения информации о файле
Командная строка:
IMHO, тот случай, когда систему целесообразнее переставить, нежели лечить:
Код:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Это не жилец по определению. Надо переставлять на SP2 + под сотню критических заплаток после.
Файлы, конечно же, пришлите. Хорошо бы ещё докопаться до поганого руткита. Хотя бы для того, чтобы опознать. Попробуйте ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.
...
Если не поможет - остаётся вариант загрузки с компакт-диска или цепляния винчестера к чистой системе.
Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.
Систему переставлять пока неохота, проверю еще через какое-то время.
А куда файлы переслать?
Так а толку, у меня вторая Win98 стоит на винче, я с нее грузился там все нормально. Там руткит не грузится в память , так и на диске его найти не могут, ни AVZ, ни CureIt.
Проверьте более продвинутым CureIt. Он, правда, только по-английски разговаривает, но видит и борет гораздо больше.
Сообщение от diakin
А куда файлы переслать?
Ссылка "Прислать запрошенные файлы" между шапкой форума и сообщениями.
У-у-у....Что-то он перестарался. Я распаковал эти файлы из дистрибутива XP - он и там нашел вирусы. Похоже false positive.
Отошлите эти файлы на http://support.drweb.com/sendnew/. В комментарии укажите, что попали под нож именно бета-версии. А какими словами, помимо Incurable, ругается?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: