-
Junior Member
- Вес репутации
- 50
Странное дело с сетями
Здравствуйте.
Не знаю что и делать уже.
Попросили помочь.
Симптомы были что вконтакте просит SMS-авторизацию.
HOSTS ПУСТОЙ!!!
ROUTE -F не помогает.
Комп был набит вируснёй, стоял NOD32 с последними базами, но не всё ловил.
Сканирование диска нодом убило 6 модификаций Win32.Kryptik все в C:\windows\system32.
После чего прогнали DrWeb CureIt - ещё один PWS.Ibank.
TeamViewer нужен, через него логи и снимали.
Комп далеко, прямо сейчас снять новые не могу.
AVZ
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
В чём проявляется проблема после всех действий:
Антивирусные сайты открываются (раньше не открывались).
ping vkontakte.ru - пингует 91.188.59.204, расположенный в Литве.
nslookup vkontakte.ru - выдаёт правильный IP настоящего вконтакта
ping vk.com - идёт на 91.188.59.204
nslookup vk.com - выдаёт правильный...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\WINDOWS\TEMP\8cM0a6tF.sys','');
QuarantineFile('C:\Documents and Settings\mycomp\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteFile('C:\Documents and Settings\mycomp\Application Data\CMedia\CMedia.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
DeleteFile('C:\WINDOWS\TEMP\8cM0a6tF.sys');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteFileMask('C:\Documents and Settings\mycomp\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\mycomp\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи (в полном объеме и в том виде, как написано в правилах)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Итак, вроде помогло. VK и vkontakte резолвится нормально.
Логи и карантин:
Вложение 260594
virusinfo_syscheck.zip
Вложение 260596
Форма загрузки карантина сначала не работала (ругаясь
"Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXX на существующую тему на форуме").
Возможно потому что файл > 5 Mb?
Удалил руками из архива большие файлы teamviewer'a, которые тоже туда попали как подозрительные.
Файл стал весом 3.7 Мб, и даже пролез:
первый:
Файл сохранён как
100814_161745_virusinfo_files_MORIO_4c668969a47af. zip
Размер файла 3771608
MD5 e21aa8be204519239edab34e4302d467
второй:
Файл сохранён как
100814_162050_Quarantine_4c668a223ea8b.zip
Размер файла 3987483
MD5 410ca86be9e92d3af465b33cce32bf6f
На всякий случай, архивы с карантином под паролем:
http://rghost.ru/2343067
http://rghost.ru/2343086
Последний раз редактировалось ipswitch; 14.08.2010 в 16:27.
-
Junior Member
- Вес репутации
- 50
Что смущает.
В каталоге C:\windows\system32\drivers валяется vdg4njgy.sys, который нельзя ни скопировать куда-нибудь для проверки, ни удалить.
Даже скопировать не получается.
Попробовал написать скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdg4njgy.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\vdg4njgy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Выполнил его в безопасном режиме - нифига не сработало, осталась на месте эта дрянь около 13 кб весом.
Если это вирус - может с убунты загружусь и руками прибью. СтОит так сделать? Или есть другой способ? Очень не хочется ехать туда с диском.
-
Сообщение от
ipswitch
В каталоге C:\windows\system32\drivers валяется vdg4njgy.sys
Драйвер AVZ
Лог HiJack где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Лог HiJack где?
Вложение 260603
-
В логах ничего подозрительного не видно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Спасибо!
Думаю, можно закрывать.
Главное, выяснили, что vdg4njgy.sys - безвредный. А то название у него подозрительное было.