-
Junior Member
- Вес репутации
- 50
Блокированы TaskManager и Regedit
Случай, насколько я понял покопав раздел, стандартный. Другие симптомы - в свойствах папки по умолчанию не показываются скрытые файлы (и отредактировать это никак), на диске C и на флэшке (H) самогенерируются autorun.inf и файл со случайным именем, запуск которого в этом autorun.inf прописан, в безопасном режиме загрузить систему низя - вылетает синий экран.
А ну и конечно, ваш сайт не открывается и avz не работает, пишу с относительно чистого ноутбука, логи делал через версию с расширением .pif.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\qtewf.pif','');
QuarantineFile('C:\WINDOWS\system32\drivers\dbkdzs.sys','');
DeleteService('ugsmh');
QuarantineFile('C:\WINDOWS\system32\drivers\pguhew.sys','');
DeleteService('rmgndiqi');
DeleteService('amsint32');
QuarantineFile('C:\WINDOWS\system32\drivers\jlmqjj.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\DOCUME~1\LEXUS\LOCALS~1\Temp\e0e3Wgt4.sys','');
DeleteFile('C:\DOCUME~1\LEXUS\LOCALS~1\Temp\e0e3Wgt4.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jlmqjj.sys');
DeleteFile('C:\WINDOWS\system32\drivers\pguhew.sys');
DeleteFile('C:\WINDOWS\system32\drivers\dbkdzs.sys');
DeleteFile('C:\qtewf.pif');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Пролечитесь так: http://virusinfo.info/showpost.php?p=648638&postcount=5
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 50
Скрипт сделан, карантин загружен, с Дохтор Вэб Live CD все просканировано.
Новые логи:
-
- Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('H:\autorun.inf','');
QuarantineFile('H:\rasql.exe','');
DeleteFile('H:\rasql.exe');
DeleteFile('H:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Сделайте новые логи
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 50
С проблемой-то всё. Но как быть вот с этим ?
C:\WINDOWS\system32\Drivers\sptd.sys Подозрение на RootKit Перехватчик KernelMode
Что-то можно сделать ?
-
Сообщение от
xuim
C:\WINDOWS\system32\Drivers\sptd.sys Подозрение на RootKit Перехватчик KernelMode
Это совершенно безвредно. Так определяется драйвер эмулятора дисков
Выполните процедуру, описанную здесь
-
-
Junior Member
- Вес репутации
- 50
А ну да, у меня DAEMON Tools стоит.
процедуру сделал.
Файл сохранён как 100927_044312_virusinfo_files_XUIM_4c9fe8a0c0079.z ip
Размер файла 24466492
MD5 04a56f320029f10c6dfc59d1292720dc
-
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
xuim
С проблемой-то всё.
Благодарю
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- h:\\rasql.exe - Trojan.Win32.Inject.avjd ( DrWEB: Win32.Sector.22, BitDefender: Trojan.Sality.B.Dam, NOD32: Win32/Sality.STB.Gen trojan, AVAST4: Win32:StubOfSality [Trj] )
-
