-
Junior Member
- Вес репутации
- 49
Помогите с вирусом
Доброго времени суток уважаемые форумчане. Вчера обнаружил что компьютер заражен вирусом. Сначала обнаружил что в KIS(у меня лицензия) появилась надпись: Требуется перезаргрузить Kaspersky Internet Security. Хотя больше года им пользуюсь и ни разу не видел такой надписи. Полез в гугл чтоб скачать AVZ, и в поле ввода слов для поиска вылезла такая ахинея:testtesttesttesttesttesttesttest. Далее было еще "веселей", если в настройках AVZ выставить "Блокировать работу RootKit User-Mode" то ее просто вышибало с ошибкой в advapi32.dll. Если же не ставить то выдавала что перехвачено куча функций из advapi32.dll и netapi32.dll.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
C:\file.exe--это Вам знакомо?
-
-
Junior Member
- Вес репутации
- 49
Нет, только что глянул в фаре, такого файла вообще нету
-
Сообщение от
Krinkels
Нет, только что глянул в фаре, такого файла вообще нету
Видно остатки.
Выполните скрипт
Код:
begin
DeleteFile('C:\file.exe');
DeleteFile('C:\Windows\Tasks\Test Task.job');
ExecuteSysClean;
end.
Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 49
-
Проверим некоторые файлы, выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP163\A0060827.exe','');
QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061885.exe','');
QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061893.exe','');
QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP181\A0063506.exe','');
QuarantineFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP182\A0064881.exe','');
QuarantineFile('C:\Win.old\Documents and Settings\Krinkelss\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\Win.old\Documents and Settings\Krinkelss\Мои документы\Авторан\Paint Bitmap Dlg\sample.exe','');
QuarantineFile('C:\Windows\psftp.exe','');
QuarantineFile('C:\Windows\KMSAct.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Затем следующий
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Последний раз редактировалось Шапельский Александр; 20.11.2010 в 15:20.
-
-
Junior Member
- Вес репутации
- 49
При выполнении первого скрипта AVZ вылетела с ошибкой:
Код:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.35.0.1
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449
-
-
-
Junior Member
- Вес репутации
- 49
Готово.
Файл сохранён как 101120_153045_quarantine_4ce7bf753c757.zip
Размер файла 1501753
MD5 ffde92d19857f3667333c33948160c9f
-
Ждем результата анализа
Добавлено через 16 минут
Выполните скрипт
Код:
begin
DeleteFile('C:\System Volume Information\_restore{956F71B5-490C-4760-AF08-01D594B27489}\RP177\A0061893.exe');
DeleteFile('C:\Windows\KMSAct.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Что с проблемой?
Последний раз редактировалось Шапельский Александр; 20.11.2010 в 15:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 49
Есть небольшие улучшения. В AVZ klif.sys появился. Вот лог на всякий случай.
-
В логе чисто
Сообщение от
Krinkels
В AVZ klif.sys появился
--это от KIS 2011
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
SAE
это от KIS 2011
Угу. Но то что функции перехвачены в advapi32.dll и netapi32.dll все равно осталось
-
Сообщение от
Krinkels
Угу. Но то что функции перехвачены в advapi32.dll и netapi32.dll все равно осталось
Это нормально.
-
-
Junior Member
- Вес репутации
- 49
Но почему тогда если в AVZ поставить Блокировать работу RootKit User-Mode то вылетает с ошибкой?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-