-
Junior Member
- Вес репутации
- 0
"Подфортило" Похоже Backdoor:WinNT/Rustock.H
Ситуация такая Наконец включив своего старенкого зверя не смог нормально прочитать диски только через ISOBuster Проверил АВЗ и он нащил маскированный драйверы в жвух файлах Антивирус касперского молчал а вирус тотал дал 4 срабатывания
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F8CE8000, размер=32768, имя = "\??\C:\WINDOWS\system32\drivers\mdffvuba.sys"
Эта запись на вирус тотале дало 4 определения
Ссылку привожу
http://www.virustotal.com/ru/analisi...ebda7cc9de3b39
>> Маскировка драйвера: Base=F4C7B000, размер=81920, имя = "\SystemRoot\system32\DRIVERS\parport.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
Среди них было еще такое
C:\WINDOWS\system32\WlCtrl32.dll ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\WlCtrl32.dll)
Пытаюсь провести повторную проверку но он от меня требуе диск в дисководе
ПРивожу логи которые получилисьчуть раньше
ПРошу прощения логи смогу загрузиь только завтра
PS Просьба админам убить дублирущую тему которая присутствует выше данной Проблемы со связью (Браузер выдавал невозможно отоббразить страницу....)
Moderated: карантин в теме (virusinfo_cure.zip) суть нарушение.
Последний раз редактировалось sunic; 14.09.2009 в 10:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Сначала сделайте полную проверку CureIT, скачайте заного AVZ и сделайте логи с установленным AVZPM...
-
-
Junior Member
- Вес репутации
- 0
Григорий обращаюсь еще раз Логи в первом посте обновлены. Проверка проводилось AVZ PM этот режим у меня изначально установлен
Заранее спасибо что не забыли
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DeleteService('bdocnogpzijzqxe');
QuarantineFile('C:\WINDOWS\system32\drivers\mdffvuba.sys','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\WINDOWS\system32\drivers\mdffvuba.sys');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('bdocnogpzijzqxe');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-