Добрый день. Имеется заражённый ноут. Лечил по рекомендованной в конфе методике, сначала CureIt потом АВЗ. После анализа логов пробовал ручками удалять подозрительные файлы но система после этого вылетала в синий экран. Помогало возвращение по одному на место и загрузка последней удачной конфигурации. Удалялись fbapi.sys (на virustotal.com - 2 из 32 показали заражение) ritcpt.sys и vvbackd5.sys - чистые, rtService.exe. АВЗ показывает перехват wininet.dll и при загрузке находится какое-то новое устройство.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=21929 , как написано в прил.3 правил.
В дополнение, вопросы: Norton antivirus находится в рабочем состоянии? И вот эта штука - ruToken Service - это похоже на службу от какого-то аппаратного средства защиты. Что-то похожее ( заглушки на USB или LPT-порты ) на машине присутствует?
Norton не был установлен, присутствовала только папка Program Files\Symantec c несколькими файлами - я это всё удалил, ещё удалил symevent.sys сейчас этого нет в системе, осталась только служба, забыл удалить. Заглушки USB присутствуют - защита Контур-Экстерн. Карантин отправил
Добавлено через 2 минуты
Забыл сказать, что присутствует ограничение учётных записей, невозможно войти под встроенной локальной учётной записью Администратор, только в безопасном режиме. Пользователь тоже в группе администраторов. В панели "Управление компьютером" нет ветки "Локальные пользователи".
Последний раз редактировалось turtle; 23.04.2008 в 12:38.
Причина: Добавлено
- должен удалить все видимые остатки от Нортона. В дополнение, у Симантека есть утилита для удаления некорректно установленных продуктов - ftp://ftp.symantec.com/public/englis...moval_Tool.exe
Хорошо бы и с ее помощью подчистить отстатки.
По поводу ограничений: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
executerepair(6);
RebootWindows(true);
end.
Возможно, это восстановит апплет "локальные пользователи и группы".
По поводу usb-ключа: видна служба
- похоже, битая, и виден активный драйвер C:\WINDOWS\system32\drivers\rtifdh.sys с описанием
Код:
ruToken IFD Handler for Windows
Отсюда предположение, что ПО для данного ключа не совсем корректно установлено (если, конечно, я угадал, и это, действительно, ПО, обслуживающее ключ).
- похоже, битая, и виден активный драйвер C:\WINDOWS\system32\drivers\rtifdh.sys с описанием
Код:
ruToken IFD Handler for Windows
Отсюда предположение, что ПО для данного ключа не совсем корректно установлено (если, конечно, я угадал, и это, действительно, ПО, обслуживающее ключ).
Служба не работала по причине отсутствия файла rtService.exe - я его удалял на время проверки.
Скрипты выполнил - результат тот же. Выкладываю повторные логи.
Я думаю что причина - VVbackd5.sys. Он без описания и номера версии тоже нет. После его удаления система не грузится. Был похожий случай. Тогда удалил заражённый dll-файл с чисткой ссылок на него AVZ-ом и всё нормализовалось. Но тогда была полная уверенность - так как на virustotal.com был опознан как вирус.
Последний раз редактировалось turtle; 23.04.2008 в 15:40.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: