Снова трояна поймал. Логи прикрепляю.
Снова трояна поймал. Логи прикрепляю.
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
Отключать надо на время лечения.Восстановление системы: включено
Базы обновить надобаза от 20.06.2008
Выполните скрипт
После перезагрузки - карантин и логи по правилам в студиюКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\aelupsvce.dll',''); DeleteFile('C:\Windows\system32\aelupsvce.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
ПС: Где и кем был найден Win32/Wigon.Cl trojan?
восстановление отключаю...
прикреплены
Последний раз редактировалось ab777; 24.06.2008 в 23:09.
карантин закачал.
Добавлено через 1 час 38 минут
Все правильно прицепилось/закачалось?
Добавлено через 48 минут
?
Добавлено через 32 минуты
ответьте, плиз, что-нибудь...
Последний раз редактировалось ab777; 24.06.2008 в 00:05. Причина: Добавлено
В логах ничего зловредного не видно. Проблема решилась?
Почему не ответили на мой вопрос из сообщения 2?
Проблема не решилась. Nod кричит на тот же вирус.
На все вопросы вроде ответил. Что именно не понятно?
Вирус ловится, но не удаляется.
Добавлено через 1 час 38 минут
ПОсле перезагрузки отрубилось оформление аэро в висте.
Переписываю, что нод выдает:
Alert details:
wwwwhttpwwwru.ru/loader.exe
Threat:
Win32/Wigon.CI trojan
Comment:
The object contains a threat to your computer
Добавлено через 3 минуты
Avz выдает вот такую хрень при проверке:
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 852231F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 852231F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 80DD51F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 80DD51F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 94
Количество загруженных модулей: 713
Добавлено через 1 минуту
Также заблокирован доступ в папку Document and Settings
Последний раз редактировалось pig; 24.06.2008 в 02:14. Причина: деактивировал ссылку
А, NOD загрузку зверя из Сети тормознул. Естественно, что удалять нечего - зверь снаружи, туда вам не дотянуться.
Перехваты от Daemon Tools или Алкоголя - не пойму, что у вас стоит, но драйвер соответствующий в памяти висит.
Последний раз редактировалось pig; 24.06.2008 в 02:22.
НЕ уверен. Окно-то не убирается даже когда сеть выключается. Постоянно вылезает.
Плюс заблокировалась системная папка, плюс перехватчики левые в системе остались, плюсь вырубился интерфейс аэро(вернул руками в настройках - сбросился на стандартный стиль). Плюс блокируется установка setup_7.0.0.223_23.06.2008_21-30.exe, плюс блокируется запуск IceSword. Исчез из трея значок сетевого подключения.
Что делать дальше?
По поводу Аэро - в порядке бреда попробуйте восстановить из карантина AVZ C:\Windows\system32\aelupsvce.dll - вдруг как раз от него библиотека.
Не, аэро на месте... Просто сбросился интерфейс на стандартный.
Перезагрузился. Значок сети вернулся.
Вырубил маршрутизатор. Инет вырубил. Нод молчит.
Начал орать APS - хакер на 80 порту. Попытки идут одна за одной изнутри наружу.
Комп вырублен от инета.
Папка Document and Settings по прежнему заблокирована.
В системе сидит какая-то хрень - абсолютно точно.
Добавлено через 1 минуту
Попробую загрузится с реаниматора. Прогнать еще раз антивирусом.
Добавлено через 13 минут
Да, еще вспомнил у нода вдруг отрубилась возможность обновления баз. Типа истек период и т.п. Чего быть не должно.
Добавлено через 40 минут
При загрузке с реаниматора (XP) не видит диски на харде ноутбука, на котором установлена виста. На компе с XP все работало. Поэтому прогнать антивирус извне не получается.
Что еще можно сделать?
Добавлено через 30 минут
Каперский "мини" снес, который так и не установился нормально на висту. Может он и долбился в 80 порт наружу?
Снес НОД поставил вместо него корпоративный SAV...
Может это нод вызывает глюки просроченный и не очень "белый"? Типа защита софта производителем?
Пока тихо...
Последний раз редактировалось ab777; 24.06.2008 в 04:03. Причина: Добавлено
Уважаемый(ая) ab777, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.