Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.
Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.
Выполнить скрипт:
сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не порадовали. Совсем не порадовали. И дело даже не в том, что нашли вирус. Дело в том, что я этот вирус уже удалял - прогнал CureIt'ом, правда в обычном режиме. Он клятвенно пообещал, что после перезагрузки этот вирус удалит. Restart, смотрю - обещание сдержал, вируса нет! Да и взяться ему просто неоткуда: интернет не подключен, локальной сети нет, флешку вставлял одну единственную, проверенную на рабочей (незавирусованной) машине(файлов на ней мало, видно и автораны и ресиклеры, Shift + Del сразу), ко всему прочему автозапуски на "больной" машине отключены. Показ скрытых файлов у меня везде включен, этот наивный трюк знаю А раз так, то вот и повод для грусти: либо на компе сидит дроппер, либо в АВЗ попала старая информация (сомнительно, я компьютер перезагружал 100%). Других носителей в комп не вставляли, это точно. Как так? Логи делал с запущенными браузерами - вроде Opera и IE8 - на стол должно было попасть все....
Другой вопрос: на этой машине стоит "убитый" Avast. Толку от него ноль. Хотел снести - удалять традиционным путем не хочет. Видимо хозяева постарались. Как его грамотно снести вместе с драйверами нулевого кольца, сервисами и записями в реестре?
P.S. Сейчас доступа к "больному" не имею. Логи будут завтра.
1. Нашли следы вируса в реестре, а не вирус.
2. http://files.avast.com/files/eng/aswclear.exe
ОК. Понятно. Аваст снес. Дополнительно поставил драйвер расширенного мониторинга процессов. Вызывает подозрение драйвер с именем spXX.sys, где XX - две произвольные латинские буквы. Например, в логе Gmer это spum.sys. Файл файловым менеджером не виден. Это что-то невредное? Или это sptd.sys себя так шифрует?
Другой вопрос: ОС на машине стоит "облагороженная Вистой" WinXP SP2 (терпеть не могу такой изврат!). Можно ли поставить на это "убожество" SP3? Или это приведет к проблемам на уровне ОС из-за подмены системных файлов?
Новые логи:
Или это sptd.sys себя так шифрует? - да, это он. Это модуль в памяти, его на диске нет.
Обновлять такие сборки можно, но осторожно. Есть варианты, когда СП3 становится нормально.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот поэтому я и не люблю сборки.
А как насчет логов? Ничего подозрительного?
В логах плохого не видно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) PavelXT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.