Была куча различных вирусов. Часть полечил. Остался по поим домыслам один руткит. На данный момент он динамически заблокировал запуск NOD32, AVZ, полиморфного AVZ, ProcessExplorer, ProcessMonitor, Autoruns, HiJackThis. При попытке их запуска получаю: "Отказано в доступе к указанному устройству или файлу". В связи с этим успел выполнить лишь один скрипт AVZ. Прошу понять мою ситуацию и не ругать за невыполнение правил подачи заявок. Как в обычном так и в безопасном режиме висит процесс 2538383405:3528962920.exe, который я не смог остановить никакими средствами.
Ну и естествено прошу профессиональной помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо, вечером буду у зараженного компа сделаю. Насколько уже понял вышеуказанные мною программы не запускаются по причине того, что вирус "бъет" их exe'шки?
Сделал так уже несколько раз. После перезагрузки TDSSKiller снова находит C:\WINDOWS\2538383405:3528962920.exe, и один из драйверов:
C:\WINDOWS\system32\DRIVERS\netbt.sys
C:\WINDOWS\system32\DRIVERS\redbook.sys
C:\WINDOWS\system32\DRIVERS\serial.sys
C:\WINDOWS\system32\DRIVERS\tcpip.sys
C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Симптомы те же.
Заметил, что запуск AVZGuard решает проблему с блокированием утилит. Могу выполнить доп. логи.
Добавлено через 22 минуты
Похоже ZAccess удалил.
Порядок моих действий:
1. Запустил AVZ и включил AVZGuard.
2. В модулях пространства ядра нашел два драйвера со странными именами, которые были подсвечены AVZ PM.
3. Написал скрипт удаления этих драйверов по имени с помощью BC.
4. После перезагрузки снова запустил AVZ, включил AVZGuard.
5. Как доверенный процесс запустил TDSSKiller и выполнил им лечение.
Перезагрузился и увидел, что пропал процесс 2538383405:3528962920.exe и больше не блокируются антивирусные утилиты.
Спасибо за помощь. Завтра еще выложу логи согласно правилам и попрошу Вас проверить их на предмет остатков всяческой заразы.
Последний раз редактировалось Saint-technik; 27.09.2011 в 01:24.
Причина: Добавлено
Посмотрите пожалуйста логи на предмет наличия остатков заразы.
И еще: в данный момент некоторые файлы на диске С:\ недоступны на запись (например почти все в папке инсталяции NOD32). Права поменять не удается - все элементы управления неактивны, консольный attrib тоже не помогает. Удалить смог только загрузившись с LiveCD. NOD ругается на файлы автозапуска JavaUpdate, SoundMax и пр. как на Win32/Patched.NH и не может произвести очистку. Эти файлы также не доступны на запись.
Удалил. Файлы, на которые ругался нод очистил после остановки соответствующих процессов. На диске остались файлы, которые невозможно удалить, хотя прав достаточно и в реестре есть записи, которые также не удается удалить, например любая запись из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options".
Кроме этого никаких странностей в системе больше не наблюдается.
А зачем Вам удалять записи из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ?
Если бы среди них были неизвестные и ненужные, МВАМ бы это показал
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Это я еще на этапе установки NOD32 после удаления ZAccess заметил, а после очистки MBAM, проверил еще раз (естественно с бекапом ветки). Буду надеятся, что такое поведение системы в дальнейшем не принесет неприятных сюрпризов.
Еще раз спасибо за помощь!
Уважаемый(ая) Saint-technik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: