При соединении с интернетом Outpost Firewall сообщает о braviax.exe и figaro.sys и помещает их в карантин, после удаления этих файлов и соответствующих ключей из реестра, проверки антивирусом и перезагрузки все повторяется заново. Проверки dr.web и avp ничего не дают. Настораживает то, что svchost.exe начинает качать с левых адресов.
Обнаруживается следующий ключ реестра:
PendingFileRenameOperations
\??\C:\WINDOWS\system32\dllcache\figaro.sys
\??\C:\WINDOWS\system32\drivers\beep.sys
Последний раз редактировалось Flinx; 09.08.2009 в 11:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys',''); QuarantineFile('C:\WINDOWS\system32\dllcache\figaro.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\beep.sys',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); DeleteFile('C:\WINDOWS\system32\dllcache\figaro.sys'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:
- Загрузитесь в консоли восстановления
- На приглашение введите строку:
Вместо Х подставьте букву драйва, где лежит дистрибутив.Код:copy X:\i386\ntfs.sys C:\WINDOWS\system32\drivers\ntfs.sys
Переписывание подтвердите.
- На приглашение введите строку:
Вместо Х подставьте букву драйва, где лежит дистрибутив.Код:expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys
Переписывание подтвердите.
- Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
- Загрузитесь нормально.
Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.
Дальнейшее лечение будет эффективным только после выполнения вышенаписанного
3. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
4. Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
могу я загрузиться с liveCD и заменить их файлами из папки ServicePackFiles от SP3?
Если найдете в папке с сервис-паком, то пожалуйста
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
карантин отправлен
новые логи
Что с проблемой?
Пофиксить в HiJack
ПерезагрузитьсяКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
стало все нормально, аутпост молчит, svchost.exe никуда не лезет
спасибо большое за помощь
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ntfs.sys - Virus.Win32.Protector.c ( DrWEB: BackDoor.Bulknet.404, BitDefender: Rootkit.Kobcka.Patched.Gen )
Уважаемый(ая) Flinx, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
