Вирус блокирует virusinfo.info, безопасный режим, создает папки с запусочными файлами
Вирус блокирует в броузере любую страницу содержащую фразу virusinfo.info. Даже при вводе в гугле этого слова комп виснет наглухо - помогает лишь конпка ресет. Такой же результат только по слову kaspersky. На сайт захожу с другого компа.
невозможно также загрузить безопасный режим - дальше черного экрана дело не идет.
Утилиты cureit и AVP tool от заразы не лечат - они даже не находят вирусов (которые я искал, естественно в обычном режиме. из за чего - написано выше).
Также вирус создает на диске D (не системный) в папке films разные папки с запусочныи файлами под названиями заголовков бульварной прессы (увеличение груди, половых органов и так далее).
Также запускает програмку автораном (значок появляется на панели быстрого запуска) - про пополнение счета и создает соответственный ярлык на рабочем столе.
Нод32,3 с обновленными базами также ничего не находит.
Очень прошу помочь.
Логи прикрепляю
Последний раз редактировалось rodmanizer; 06.03.2009 в 18:23.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Убрал из скрипта параметр перезагрузки. ВОт лог выполнения скрипта с ошибками карантина. Может чем то поможет
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtCreateKey (29) перехвачена (80577925->F74D70E0), перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80578E1C->F74F5CA2), перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80587691->F74F6030), перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BFC->F74D70C0), перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80578A1C->F74F610, перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8057303F->F74F5F8, перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80582294->F74F619A), перехватчик spei.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 7, восстановлено: 7
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8ADD41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8ADD41F8 -> перехватчик не определен
Проверка завершена
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mscoco.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\mscoco.exe)
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\WINDOWS\system32\mscoco.exe
>>>Для удаления файла C:\WINDOWS\system32\mscoco.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Скачайте файл http://rapidshare.com/files/199106177/toto.pif (это более свежая версия AVZ, но в ней не обновляются базы).
Сохраните в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
Пролечился я КидоКиллером, точнее попытался. При скане показало, что комп чист. (Был у меня конфикер когда-то, но я его замочил)
Скрин прилагаю. Также установил все последние обновления для безопасности на винду.
Также при сборе инфы AVZ указало на вот это. Может что-то с ним сделать? C:\WINDOWS\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано
Сделайте так.
В диалоге AVZ Поиск файлов для диска C задайте имя файла: *.*
Размер: = 939520
Интересуют такие, которые находятся в папках с расширением ini.
Пришлите нам 2 таких файла, скопировав их в карантин.
Закройте все программы.
Запустите AVZ, включите AVZGuard.
Повторите поиск с теми параметрами что я указал выше.
Удалите найденные файлы, нажимая кнопку Удалить отмеченные файлы.
Перезагрузите компьютер не закрывая AVZ.
Также запускает програмку автораном (значок появляется на панели быстрого запуска) - про пополнение счета и создает соответственный ярлык на рабочем столе.
Скопируйте файл на который этот ярлык указывает в карантин.
Загрузите добавленный файл по ссылке Прислать запрошенный карантин верху этой темы.
На ваш сайт уже заходит. На диске D пока папки не создает. Что касается того ярлыка, думаю просто совпадение - удалил ту папку, куда ярлык ссылается - после перезагрузки он не появляется.
Но в безопасный режим все равно не заходит. может проблема в винде (что то заглючило)
В любом случае вот логи
Уважаемый(ая) rodmanizer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: