В ядре ОС сидит вирус

**yanussss** · 16.07.2011, 14:51

Изначально на компьютере сотрудники подхватили вирусы, вирусы были удалены, поставлен KIS2011 который стоял месяц, затем был поставлен бесплатный аваст, который успешно работает и обновляется уже несколько месяцев.

Но периодически стали поступать жалобы что вылетают программы. По факту периодически перезапускается explorer.exe, avast ругается что было блокировано соединение с адресом 91.207.5.250/town/a1.php от имени ядра с PID 4.

Далее был обнаружен atapidrv.sys в модуле ядра http://www.virustotal.com/file-scan/report.html?id=699313cc1c09cffff308cfa61a6801ea060 d3bded3fbc3dc966b5b62affa63de-1310809204

Еще меня смущает строки в отчете :
"7. Эвристичеcкая проверка системы

>>> Подозрение на маскировку ключа реестра службы\драйвера "vsfoceamdxwhop"
>>> C:\WINDOWS\system32\Drivers\atapidrv.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\atapidrv.sys)
Проверка завершена"

Файл уже отправлен на анализ в лаборатории.

Прошу помочь удалить эту беду корректно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 17.07.2011, 01:04

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\hkogrm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог gmer

**yanussss** · 17.07.2011, 15:35

Выполнил скрипт, сделал логи. С помощью gmer удалил службу "vsfoceamdxwhop", хотя в логах видны остатки ссылок. Прикладываю вновь сделанные логи.

**Aleksandra** · 17.07.2011, 15:41

Где повторные логи?

**yanussss** · 17.07.2011, 15:51

Сообщение от Aleksandra

Где повторные логи?

поправил. что-то как-то странно форма для ответа работает. толи браузер глючит, толи движок форума.

**Aleksandra** · 17.07.2011, 16:10

Выполните в GMER:

Код:

gidx1itv.exe -del file "c:\windows\system32\drivers\vsfoceabdibnyr.sys"
gidx1itv.exe -del file "c:\windows\system32\vsfocesmprqxyv.dll"
gidx1itv.exe -del file "c:\windows\system32\vsfocebvmhwwks.dat"
gidx1itv.exe -del file "c:\windows\system32\vsfocepwsftung.dll"
gidx1itv.exe -del file "c:\windows\system32\vsfocehvmyqxmo.dat"
gidx1itv.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfoceamdxwhop"
gidx1itv.exe -reboot

Сделайте повторный лог.

**yanussss** · 01.08.2011, 22:50

В общем выполнил код, удалены *.dat файлы. больше ничего подозрительного там не увидел. Все стало тихо. в результате проверки был обнаружен Trojan.Win32.Vrdapi.ch который добавлен в базы касперского вирусным аналитиком аж в течение 3 (ТРЕХ) дней, что удивительною Видать или virus сложный или работы у них много.

Повторно логи не делаю т.к. компьютер интенсивно используется и лишний раз его отключать не совсем целесообразно.

Спасибо за помощь.

**CyberHelper** · 02.08.2011, 22:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\atapidrv.sys - Trojan.Win32.Vrdapi.ch ( DrWEB: Trojan.Siggen2.57746, BitDefender: Trojan.Generic.KDV.77969, AVAST4: Win32:Malware-gen )

В ядре ОС сидит вирус (заявка № 105829)

Опции темы

В ядре ОС сидит вирус

Антивирусная помощь

Итог лечения

Похожие темы

Где-то сидит вирус

ГДЕ ТО СИДИТ ВИРУС

Вирус сидит?

сидит вирус

Сидит ли вирус в корзине?

Ваши права в разделе