-
Junior Member
- Вес репутации
- 54
Подозрение на Nikolic, подозрительное в sys32, подозрительные тормоза
Добрый день уважаемые гуру, помогите пожалуйста.
(Win7ult-Ru, core i3, 2,9Ггц, ОЗУ-2Гб)
На компьютере недавно был тотальный апгрейд (мама, проц ит.п.) при сохранении операционки на винте, система долго не поднималась (отдельная тема), посему на общем фоне собственно подозрительного ничего не отмечено. Хотя иногад странные тормоза.
(И к новому железу поставлены разные новые дрова и утилиты - не во всем еще разобрался что полезно а что нет)
Стоит Нод32 (ESS), регулярно обновляется.
Однако подозрительное:
1.На флешках стали появляться вирии типа Nikolic (авторан, + в папке Николич какаято живность). Утверждать что вирии на флешке именно с этого кмопа - точно не могу. Флешка пробежалась по нескольким компам, и Николич на ней всплывал дважды. Вроде легко убивается любым антивирусом, но откуда берется пока непонятно. Может более живуч чем кажется?
Но на самом компе, в руте, такой папки не появляется.
2. В папке Win-sys32 отмечено появление ранее не знакомых (Ну плохо пока знаю Вин7) файлов например невидимый ezsidmv.dat. Вирустотал ничего плохого не сказал.
Запускался свежий АВПТул, КюрИт - ничего не нашли. Однако в безопасном режиме АВПТул при запуске вылетает с ошибкой.
Сделал логи от АВЗ.
Я посмотрел в логах Подозрительные объекты.
Кроме Сборки версии Миранды от Альфамара - всё вроде "знакомые вирусы". Альфамаровскую сборку - грузил с оффсайта alfamar.miranda.im
Развейте пожалуйста мои подозрения относительно вирусов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
...я преисполнен терпения, смиренно жду внимания к своему сообщению
UPD
Уж полночь близится, а помощи всё нет
Последний раз редактировалось C0NSUL; 30.08.2010 в 21:41.
-
Junior Member
- Вес репутации
- 54
Ммм... Прошло почти двое суток...
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\Drivers\at2r6ibe.SYS','');
QuarantineFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys','');
DeleteFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys');
DeleteFile('C:\Windows\System32\Drivers\at2r6ibe.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_DeleteFile('C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
Спасибо.
Скрипт выполнил, скрипт выполнен успешно.
Но файл quarantine.zip пуст
Файлов:
C:\Windows\System32\Drivers\at2r6ibe.SYS
C:\Users\C0NSUL\AppData\Local\Temp\0cXZ9zlI.sys
не обнаружено (Это после скрипта. До - не хватило ума посмотреть).
Пытался отправить пустой quarantine.zip (ну мож я чё нипонимаю, Вы просили - мы делаем) по ссылке "прислать запрошенный карантин". Но выскочило сообщение "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
размер файла quarantine.zip - 22байта. Там только заголовок Зип архива
(не думаю что он нужен. но если нужен смогу куданить выложить а сюда ссылку)
Логи сделал заново, прилагаю.
Посмотрите плззз...
ps
обнаружена живность на другом, соседнем компутере (mmpc.exe и прочие радости). Тут комп, а еще есть нетбук, всё домашнее. Возможно именно оттуда и прыгал Николич на флешку(писал в шапке). Если не справлюсь то вскорости создам новую тему.
-
Плохого не увидел.
Сообщение от
C0NSUL
Если не справлюсь то вскорости создам новую тему.
Да, для другого ПК новая тема.
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Venus Doom
Плохого не увидел.
Спасибо!