При сканировании обнаружен перехват функций файловой системы. Плюс прямое чтение из папки Temp.
При сканировании обнаружен перехват функций файловой системы. Плюс прямое чтение из папки Temp.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin QuarantineFile('C:\Documents and Settings\E_Vatletsova\Local Settings\Temp\tqaa.dll',''); QuarantineFile('C:\Documents and Settings\E_Vatletsova\Local Settings\Temp\wuhyqp.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 1 минуту
Remote Administrator -сами ставили?
Последний раз редактировалось polword; 20.07.2010 в 11:46. Причина: Добавлено
RAdmin был до, но мне казалось я его удачно деинсталировал. MSTsc пошустрее и бесплатен.
G:\autorun.inf - знаком?
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\rserver30\r3god.dll'); RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
G:\autorun.inf наш, родимый.
Деинсталировал DTools, но почему то служба spdt продолжает работу. Вирт приводов нет. Прогнал avz, теперь определил перехватчика - spgi.sys. Перед удалением поместил оба (и spdt.sys) файла в карантин - если нужны пришлю.
--
Срипт выполнил, файл прикрепил. spcl.sys теперь в кач руткита. Он что, динамически изменяет имя?
Последний раз редактировалось Whols; 20.07.2010 в 13:16.
Чуть выше уже выложил.
--
О,чудо! Как только остановил службу spdt всё - прехваты закончились. Странно что после деинсталяции DT служба продолжала работу. Благодаря AVZ удалось определить её состояние и остановить. Через msconfig данная служба была не видна вообще, как ни страннно.
polword, cпасибо за удаление двух подозрительных объектов в профиле пользователя и чистку реестра. Параметр AppInit взял на заметку.
Последний раз редактировалось Whols; 20.07.2010 в 13:48.
если ничего больше не беспокоит, значит все.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Whols, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.