Непрерывно идёт входящий и исходящий трафик HTTP (иногда SMTP)
от имени svchost.exe
AVP, DrWeb и AVZ ничего не обнаруживают.
Запуск CureIt в безопасном режиме также ничего не дал.
Все базы антивирусов новые (вчерашние).
Непрерывно идёт входящий и исходящий трафик HTTP (иногда SMTP)
от имени svchost.exe
AVP, DrWeb и AVZ ничего не обнаруживают.
Запуск CureIt в безопасном режиме также ничего не дал.
Все базы антивирусов новые (вчерашние).
выполнить скрипт:
Загрузить получившийся карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\??\D:\Program Files\DrWeb\oiKr447h.sys',''); QuarantineFile('systemroot\system32\tscupgrd.exe',''); QuarantineFile('D:\WINDOWS\RTHDCPL.EXE',''); QuarantineFile('iisui50.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Установить AVZPM. Перезагрузиться. Сделать повторно логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за ответ.
Всё сделал.
P.S.
Файл virusinfo_cure.zip на форум загрузить не удалось
(размер 4MB у него получился).
Ссылка на файл:
Последний раз редактировалось drongo; 12.10.2007 в 12:56.
http://virusinfo.info/upload_virus.php?tid=13100 - грузить надо сюда.
Добавлено через 12 минут
D:\WINDOWS\system32\iisui50.dll - файл от Майкрософта и сам же Майкрософт на вирустотал на него ругается.
D:\Program Files\DrWeb\oiKr447h.sys - поищите через AVZ.
Если найдется, добавить в карантин и загрузить отдельно.
Логи из удаленной сессии делали или локально на машине?
Последний раз редактировалось PavelA; 11.10.2007 в 13:30. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл с вирусом загрузил по вышеприведённой ссылке.
Логи делал локально.
Про карантин:
Ошибка карантина файла, попытка прямого чтения (D:\Program Files\DrWeb\oiKr447h.sys)
Карантин с использованием прямого чтения - ошибка
Добавлено через 6 часов 17 минут
Из второй операционки (в ней вируса вроде нет) поискал oiKr447h.sys по диску.
Нет такого файла.
А загруженный мною ранее на сайт virusinfo_cure.zip вместе с новыми логами ничего полезного не содержат?
Последний раз редактировалось H_S_A; 11.10.2007 в 20:02. Причина: Добавлено
В том, что было загружено только одно подозрение на D:\WINDOWS\system32\iisui50.dll
Попрошу других посмотреть. Возможны особенности Win2003 не учитываются AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ясно, спасибо.
Файл iisui50.dll прямо в работающей системе можно переименовать.
Т.е. он не заблокирован (DLL не загружена?).
Даже не знаю, чем ещё можно систему проверить.
Сделайте дополнительный лог в безопасном режиме:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
Высылаю дополнительный лог, сделанный в безопасном режиме.
Что за фрукт будет?
Код:begin QuarantineFile('D:\WINDOWS\is-A55N8.exe',''); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Результат выполнения:
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка
Файла такого на самом деле нет.
В прошлый раз просили прислать oiKr447h.sys, и его тоже не было.
Похоже на то, что какой-то процесс маскируется: создаёт левые файлы и себя туда перебрасывает. Причём файлы похоже новые всё время.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\iisui50.dll - HEUR:Trojan.Win32.Generic (DrWEB: Trojan.Inject.456)
Уважаемый(ая) H_S_A, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.