Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.
Гляньте
Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не порадовали. Совсем не порадовали. И дело даже не в том, что нашли вирус. Дело в том, что я этот вирус уже удалял - прогнал CureIt'ом, правда в обычном режиме. Он клятвенно пообещал, что после перезагрузки этот вирус удалит. Restart, смотрю - обещание сдержал, вируса нет! Да и взяться ему просто неоткуда: интернет не подключен, локальной сети нет, флешку вставлял одну единственную, проверенную на рабочей (незавирусованной) машине(файлов на ней мало, видно и автораны и ресиклеры, Shift + Del сразу), ко всему прочему автозапуски на "больной" машине отключены. Показ скрытых файлов у меня везде включен, этот наивный трюк знаюА раз так, то вот и повод для грусти: либо на компе сидит дроппер, либо в АВЗ попала старая информация (сомнительно, я компьютер перезагружал 100%). Других носителей в комп не вставляли, это точно. Как так? Логи делал с запущенными браузерами - вроде Opera и IE8 - на стол должно было попасть все....
Другой вопрос: на этой машине стоит "убитый" Avast. Толку от него ноль. Хотел снести - удалять традиционным путем не хочет. Видимо хозяева постарались. Как его грамотно снести вместе с драйверами нулевого кольца, сервисами и записями в реестре?
P.S. Сейчас доступа к "больному" не имею. Логи будут завтра.
1. Нашли следы вируса в реестре, а не вирус.
2. http://files.avast.com/files/eng/aswclear.exe
ОК. Понятно. Аваст снес. Дополнительно поставил драйвер расширенного мониторинга процессов. Вызывает подозрение драйвер с именем spXX.sys, где XX - две произвольные латинские буквы. Например, в логе Gmer это spum.sys. Файл файловым менеджером не виден. Это что-то невредное? Или это sptd.sys себя так шифрует?
Другой вопрос: ОС на машине стоит "облагороженная Вистой" WinXP SP2 (терпеть не могу такой изврат!). Можно ли поставить на это "убожество" SP3? Или это приведет к проблемам на уровне ОС из-за подмены системных файлов?
Новые логи:
Или это sptd.sys себя так шифрует? - да, это он. Это модуль в памяти, его на диске нет.
Обновлять такие сборки можно, но осторожно. Есть варианты, когда СП3 становится нормально.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот поэтому я и не люблю сборки.
А как насчет логов? Ничего подозрительного?
В логах плохого не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) PavelXT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
