Явно не проявляется, но при простой проверке AVZ находит перехват системных функций + одна dll-ка стабильно с вирусней, как ее не убивай, и еще один весьма подозрительный файл драйвера.. Все сделал по правилам, логи прилагаются.
Помогите, пожалуйста
Явно не проявляется, но при простой проверке AVZ находит перехват системных функций + одна dll-ка стабильно с вирусней, как ее не убивай, и еще один весьма подозрительный файл драйвера.. Все сделал по правилам, логи прилагаются.
Помогите, пожалуйста
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\xkefqtgs.dll',''); QuarantineFile('C:\WINDOWS\rnopbfgt.dll',''); QuarantineFile('d:\distrib\net\winpopup.exe',''); DeleteFile('C:\WINDOWS\rnopbfgt.dll'); DeleteFile('C:\WINDOWS\xkefqtgs.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26261
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Обратите внимание:Код:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O11 - Options group: [INTERNATIONAL] International*
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 83.172.62.37:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = _http://torrents.vtomske.ru/forum;
_http://worms.tom.ru
_http://nts.su
_http://www.fc-tom.ru
Повторите логи.
Последний раз редактировалось Kuzz; 10.07.2008 в 22:24. Причина: Ссылки были активными..
The worst foe lies within the self...
Карантин залил, скрипт выполнил. Сообщения AVZ о перехватчиках в пункте "1.5 Проверка обработчиков IRP", выделенные красным, остались..
Логи прикладываю.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\fyoqdhdx.dll',''); QuarantineFile('C:\Documents and Settings\Hukuma\Local Settings\Temp\~DFD068.tmp',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26261
А перехваты вида:
обычное дело при присутствии деймонтул и антивирусов.Код:\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 823DD1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 823DD1F8 -> перехватчик не определен
Антивирусы так перехватывают обращения к файлам для проверок, а DaemonTool - для маскировки от защит.
Надеюсь эта программа Вам знакома: D:\Distrib\Net\WinPopup.exe
The worst foe lies within the self...
Да, полезная программка для общения по сети. Даже авторов знаю ) она вроде тока порты слушает..Надеюсь эта программа Вам знакома: D:\Distrib\Net\WinPopup.exe
Насчет перехвата Вы меня утешили , так что на данный момент беспокоит "Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys".
Карантин залил, логи тут.
C:\WINDOWS\system32\drivers\sptd.sys и есть DaemonTool ...
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\fyoqdhdx.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
выкладываю
выполните скрипт ....
больше ничего плохого не видно ....Код:begin BC_DeleteSvc('Mea1lhwpwter'); BC_Activate; RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\rnopbfgt.dll - Trojan.Win32.Vapsup.gte
- c:\\windows\\system32\\fyoqdhdx.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.1
- c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.gte
Уважаемый(ая) snn_nik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.