После самостоятельного лечения компьютера от Virus.Win32.Sality.bh
Здравствуйте.
Опишу самостоятельное лечение компа от virus.win32.sality.bh.
Хотелось услышать мнение хелперов,а также посмотрите логи после этого лечения.
Диск был разделен на две части ранее(до заражения),С и Е.Acronisом также был сделан ранее(до заражения) образ системного раздела С,и сохранен на раздел Е.
Подхватил эту заразу с переносного диска.Порывшись в сети что можно сделать,сделал следуещее:
Отключил переносной диск от компа.С загрузочного диска от Acronisа восстановил системный раздел С.Потом KIS проверил раздел Е,где был обнаружен Virus.Win32.Sality.bh в нескольких EXE-шниках и вылечены.Далее...
Подключил переносной диск и также прогнал KIS 2010, тоже был обнаружен Virus.Win32.Sality.bh в различных EXE-шниках и вылечены.
Далее KIS 2010 сделал полную,быструю,и проверку обьектов.Все чисто.
Воспользовался SalityKiller.exe ,который тоже ничего не обнаружил.
Скачал Dr.Web CureIt!,и в безопасном режиме(безопасный режим пробовал включать раза четыре,так прочитал что данный вирус блокирует включение безопасного режима,каждый раз включался нормально)просканировал комп полностью,с включенным сканированием архивов, в настройках(правда сканил больше 24 часов).
Dr.Web CureIt тож ничего не обнаружил.
Высылаю логи,посмотрите пожалуйста,неужели удалось избавиться от файлового вируса.
Напрягает это:
1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBacks = 00145448 Disable callback OK Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов >> Маскировка драйвера: Base=F7657000, размер=40960, имя = "\SystemRoot\system32\DRIVERS\processr.sys"И это: Подозрительные объекты
Файл
Описание
Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKit
Перехватчик KernelMode
\SystemRoot\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC
Подозрение на RootKit
Перехватчик KernelMode
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%system32%\DRIVERS\processr.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог Gmer.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: