Операционная сисетма Windows XP HE 2600.xpsp_sp2 070227-2254
Компьютер заражен вирусом, Dr.Web 4.33 определяет вирусы при загрузке в следующих файлах:
%windir%\system32\taskmon.sys - Trojan.Packed.142
%windir%\system32\kernelw.sys - Trojan.NtRootkit.426
и в папке пользователя bot.dll - Trojan.Spambot.2552
Все зараженные файлы были удалены в безопасном режиме при отключенном восстановление системы. Реестр почистил от запуска какого-то файла из папки Temporary Internet Files. Проверка системы целиком никаких результатов не дала.
После загрузки компьютера в нормальном режиме все вирусы восстанавливаются. Проблема осложняется тем, что не запускаются многие приложения, такие как AVZ, HiJackThis, CureIt. Система никак не реагирует на запуск исполняемых файлов.Но Dr.Web установленный на компе запускается нормально.
Вот список библиотек, которые использует csrss, которые могут его грузить (как я понимаю), информация получена через FAR:
ntdll.dll
csrsrv.dll
basesrv.dll
winsrv.dll
GDI32.dll
KERNEL32.dll
user32.dll
sxs.dll
Advapi32.dll
rpcrt4.dll
secur32.dll
Подскажите, где еще копать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы запустить HiJackThis поступите ним также как советовал rubin.
Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.
Без логов помочь трудно.
После переименования удалось запустить AVZ и выполнить скрипты. HiJackThis не запускается вообще, CureIt запустилась, нашла 5 зараженных файлов и вывалилась с ошибкой, повторный запуск, к сожалению, перезаписал лог, но один вирус остался
bot.dll - Trojan.Spambot.2552
CureIt нашла только %system%\users32.dat - trojan.click.5043 и все. Сам лог весит 1Mb в архиве.
После выполнения предыдущих скриптов и повторного лечения, вновь появились файлы murka.dat, medichi.exe и medichi2.exe. Появились признаки заражения (блокировка свойств системы, реестра). Удалил файлы, вместо них создал пустые файлы с такими же именами. После перезагрузки признаков заражения нет.
Возможно проблема была в файле beep.sys размер 37888 Kb вместо 4224 Kb.
Переименовал файл на beep.sys1 и после перезагрузки появился нормальный beep.sys
Пароль на beep.rar: virus
Последний раз редактировалось Shu_b; 15.01.2008 в 13:36.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: