Помогите, пожалуйста, добороть гадость. В безопасном режиме прошелся по компьютеру утилитами CureIT и AVPTool. Первая нашла:
- Trojan.Download.29459
- BackDoor.IRC.Nite.18
- Trojan.Download.33838
- Trojan.Botnetlog.3
Вторая:
- Backdoor.Win32.Agent.tzl
- Trojan-PSW.Win32.Agent.kyw
- Backdoor.Win32.KeyStart.ch
- Trojan.Win32.Inject.sph
Все эти файлы были удалены. После этого в безопасном режиме эти утилиты больше ничего не обнаруживают. Тем не менее, судя по netstat -a компьютер занимается рассылкой спама. Следуя инструкции, прикладываю отчеты AVZ и HiJackThis.
Заранее благодарю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Прикладываю обновленные логи. Добавлю, что также на компьютере не возможно запустить avz.exe (был переименован в !avz.exe), HiJackThis.exe (был переименован в HIJACKTH.EXE), regedit.exe и regedt32.exe. Т.е. вирус смотрит на эти файлы по имени и после переименования запуск работает.
Да, TWD - мой. Проверку компьютера в безопасном режиме уже проводили. На данный момент ни CureIT ни AVPTool на нем не видят. Тем не менее, спам рассылается и regedt32 не запустить.
Добавлено через 2 часа 13 минут
Итог на данный момент:
Физически отключил ЖД и подключил к другой раб. станции. Утилита CureIT обнаружила следующее:
c:\windows\system32\alil.dll - Trojan.Msliksur.6
c:\windows\system32\drivers\ndis.sys - Trojan.NtRootKit.2670
c:\windows\system32\dllcache\ndis.sys - Trojan.NtRootKit.2670
Я так понимаю, ndis.sys жизненно важен для WinXP, поэтому заменю его с чистой раб. станции.
Сейчас запущен AVPTool. Если что обнаружит сверх найденного - соообщу.
Добавлено через 1 час 5 минут
Утилита AVPTool более ничего не нашла. Рассылка спама прекратилась, но при этом, установить NOD32 или запустить regedit/regedt32 не получается.
Последний раз редактировалось AVinogradov; 21.04.2009 в 17:35.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: