Ситуация на 13.30 21 марта 2009г. в сети 58 компов ....заражены оказались 11..... 2 компа, после лечения антивирусами и утилитами ...так и остаются зараженными, на 3-х компах остались последствия(виснет explorer).....
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ситуация изменилась! НОД32 с сегодняшними базами стал определять вирус
C:\windows\system32\сл.набор букв . что-нибудь.... удаляет после перезагрузки - но вирус остается.
Лечить надо компьютеры:
- установить надежные пароли на учетные записи пользователей с правами администратора.
- установить обновления безопасности на Windows.
А conficker надо удалять.
Остался 1 комп заражен, на втором виснет любая прога установленная шелом....
Остался 1 комп заражен, на втором виснет любая прога установленная шелом.... как восстановить настройки проводника?? перезапись ветки реестра с аналогичной машины, результата не дала ....
после выполнения скрипта, карантин создан, но пустой, т.е. нет ни одного файла. Решил посмотреть в чем дело, для этого из скрипта убрал команду автоматической перезагрузки: RebootWindows(true);
в AVZ получил следующий листинг:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (583) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
>>> Код руткита в функции LoadLibraryExW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (620) перехвачена, метод APICodeHijack.JmpTo[600D1541]
>>> Код руткита в функции SystemFunction035 нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
>>> Код руткита в функции InternetAlgIdToStringA нейтрализован
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
>>> Код руткита в функции InternetAlgIdToStringW нейтрализован
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Удаление службы/драйвера: qitbed
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\bxkhyslg.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\bxkhyslg.dll)
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\WINDOWS\system32\bxkhyslg.dll
>>>Для удаления файла C:\WINDOWS\system32\bxkhyslg.dll необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
Добавлено через 4 часа 32 минуты
кто сможет помочь??
Добавлено через 35 минут
ситуация изменилась, вирусы утилиты не находят. НО! explorer виснет, система тормозит очень сильно.
Последний раз редактировалось Alexsmz; 24.03.2009 в 13:42.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: