-
Junior Member
- Вес репутации
- 51
AVZ перехватчик не определен
Комп сына (не важно). Антивирус не стоит. Заподозрил неладное.
Сайты антивирусных программ не открываются. CureIt ничего не находит.
Троянчик испортил таблицу маршрутизации.
Запустил CureIt из под другой оси (multiboot на компе). Он нашел и удалил Trojan.PWS.Ibank.53.
После перезагрузки таблица маршрутизации все равно портится.
Ручками нашел с 10 подозрительных файлов в system32, зазиповал и проверил онлайн сканерами. DrWeb - ничего не нашел. Касперский нашел Backdoor.Win32.Shiz.jv - http://www.securelist.com/ru/descrip....Win32.Shiz.jv
Ручками почистил файлы и реестр. Таблица маршрутизации после перезагрузки не портится.
Когда система была заражена, никакие проги в инет не лезли, но services.exe слушали на странном порту. Если правильно запомнил на 800/tcp и /udp.
AVZ ругается "перехватчик не определен".
Осадочек остался. Логи AVZ и HiJackThis прикладываю.
AVPTool запущен на несколько часов. Повторю, что CureIt ничего не нашел.
PS LiveCD от DrWeb и KAV не запускаются (перезагружают комп) - но это проблеме материнки похоже.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прочтите правила еще раз и предоставьте нужные логи AVZ, а не отсебятину
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Sorry. Невнимателен. virusinfo_syscheck.zip и virusinfo_syscure.zip - прикладываю
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('\\?\globalroot\systemroot\system32\xW35mhT.exe','');
QuarantineFile('E:\WINDOWS\system32\276f6feb.exe','');
DeleteFile('E:\WINDOWS\system32\276f6feb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\xW35mhT.exe');
DeleteFile('H:\autorun.inf');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо за помощь. H:\autorun.inf - вполне безобидный файл на флешке (LiveUSB с убунту - запуск).
276f6feb.exe
xW35mhT.exe - и еще 3 подобных файла были удалены ручками(об этом писал). Именно в них online проверка касперского находит Backdoor.Win32.Shiz.jv
Вот в 2х из 5 подобных файлов ничего не найдено!!!!
Все выполню завтра.
Т.к. запошенные файлы были удалены, высылаю то, что было удалено еще до создания темы. Вместе с другими подозрительными файлами. Заархивировано без помощи AVZ
Последний раз редактировалось krish501; 10.07.2010 в 23:52.
-
Junior Member
- Вес репутации
- 51
Скрипт AVZ "на всякий пожарный" выполнил. На перезагрузке комп подвис.
Выкладываю новые логи
-
В логах порядок.
Перехваты от эмулятора дисков
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- \ee8tkz9.exe - Backdoor.Win32.Shiz.kh ( DrWEB: Trojan.PWS.Ibank.53 )
- \pfctdhn.exe - Backdoor.Win32.Shiz.kh ( DrWEB: Trojan.PWS.Ibank.53 )
- \tswnjix.exe - Backdoor.Win32.Shiz.jv ( DrWEB: Trojan.PWS.Ibank.53 )
- \xw35mht.exe - Backdoor.Win32.Shiz.jy ( DrWEB: Trojan.PWS.Ibank.53 )
- \276f6feb.exe - Backdoor.Win32.Shiz.jp ( DrWEB: BackDoor.Siggen.25437, AVAST4: Win32:Malware-gen )
-