Сегодня переставлял Win Xp Sp2. Решил проверить, вот нашел подозрение. Надеюсь все сделал правильно. Файлы прилагаю.
Сегодня переставлял Win Xp Sp2. Решил проверить, вот нашел подозрение. Надеюсь все сделал правильно. Файлы прилагаю.
Почему сразу Сервис Пак 3 не поставили? теперь будем вместе расхлебывать.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.com',''); QuarantineFile('C:\WINDOWS\System32\Drivers\as1xmj1a.SYS',''); DeleteFile('C:\WINDOWS\svchost.com'); DeleteFile('C:\WINDOWS\System32\Drivers\as1xmj1a.SYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделал все. Карантин прислал. Только второй файл не добавился.
Пишет:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\as1xmj1a.SYS)
Карантин с использованием прямого чтения - ошибка
Повторные логи прилагаю.
В логах чисто...
Левого svchost теперь действительно нет.
Но вот такого рода сообщения настораживают:
\FileSystem\ntfs[IRP_MJ_CREATE] = 85B9B980 -> перехватчик не определен
Это от эмулятора дисков...
Спасибо за помощь и разъяснения.
Добавлено через 1 час 0 минут
Вопрос в догонку. Я тут еще не очень ориентируюсь, есть ли какие-нибуть заплатки, чтобы недопустить заражение снова?
Последний раз редактировалось i-ale; 12.12.2008 в 22:56. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.com - Virus.Win32.Neshta.a (DrWEB: Win32.HLLP.Neshta)
Уважаемый(ая) i-ale, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.