Машина заражена вирусом! NOD 32 ссылается на RDRIV.SYS вирус идентифицирует как WIN32/ROOTKIT.I troyan
Обшарил (образно выражаясь) всю сеть в поисках "лекарства" и забрел на ваш форум. Как я увидел, Вы сталкивались с подобной проблемой но, увы, у меня несколько иная ситуация.
Самое обидное то что NOD32--->AMON эту вещь видит, а удалить не может, только блокирует. Я пытался вылечить систему самим НОДом в сэйфе и обычном режиме, так же использовал AVZ (все как описано в правилах). Они (сначала использовал НОД потом AVZ) находят и удаляют вирус но, увы, после перезапуска все повторяется по новой. Прикрепляю отчеты и надеюсь на Вашу помощь :'-(

P.S. Базы на НОДе и на AVZ последние... Восстановление системы (на всех дисках) перед лечением отключал и больше не трогал

Хотелось бы ещё лог сканирования AVZ. А то в присланном RDRIV.SYS напрочь отсутствует. Попробуйте найти его самостоятельно (лучше, наверное, в безопасном режиме) и прислать как описано в правилах.

Ещё пришлите C:\WINDOWS\svchost32.exe - если есть.

P.S. eHome - это что такое и какого рожна ему надо в каталоге Windows?

1. Хотелось бы ещё лог сканирования AVZ. А то в присланном RDRIV.SYS напрочь отсутствует.
2. Ещё пришлите C:\WINDOWS\svchost32.exe - если есть.


1. Возможно RDRIV.SYS отсутствует в логе потому, что НОДовский AMON его на время прибил. За последние 4 часа он убивал его, а тот (RDRIV.SYS) восстанавливался более 4000 раз... Но я могу его (AMON)выключить и протестить систему с "неприкасаемым" RDRIV.SYS

2. Только один вопрос: Я могу прислать (первое) лог сканирования AVZ с не потревоженным RDRIV.SYS (второе) сам файл-RDRIV.SYS(третье) файл (у меня нет svchost32.exe но зато имеется) --- svchost.exe

Мне прислать их на [email protected] в архиве с паролем "virus" или вложить этот архив в следующее сообщение?
И еще: вам нужны будут все эти файлы или их количество можно (необходимо) сократить?

P.S. Не знаю к Вам ли с этим оращаться, но я обнаружил, что по ссылке 1. Бесплатная утилита от DrWeb - CureIT! (ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe). ~3.5 mb - качается "битый" архив.

P.S. Не знаю к Вам ли с этим оращаться, но я обнаружил, что по ссылке 1. Бесплатная утилита от DrWeb - CureIT! (ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe). ~3.5 mb - качается "битый" архив.

Это к компании ДрВэб. Ради проверки закачал... Действительно битый.

Все запрошенные файлы присылать на [email protected]
svchost.exe присылать не надо, во всяком случае пока.

Все запрошенные файлы присылать на [email protected]
svchost.exe присылать не надо, во всяком случае пока.

Как Вы и просили - все отправил в архиве с названием - VirusInfo.zip
Тема письма - Файлы которые запросил PIG

В архиве:
Лог сканирования - hijackthis.txt
Лог сканирования системы (+ диск С:\) - avz_log.txt
Лог исследования системы - avz_sysinfo.html (получился со второй попытки, так как, при первом исследовании машина перезапустилась)
Файл на который ссылается NOD32 - rdriv.sys
Файл который запросили у меня дополнительно - svchost32.exe - его, если мне не изменяет память, Вы тоже просили прислать

Жду и надеюсь...:embarasse

По классификации DrWeb
rdriv.sys - Trojan.NtRootKit.61
svchost32.exe - Win32.HLLW.MyBot

ps. а вот второй, мало ещё кем определяется...
http://virusinfo.info/showthread.php?p=67139#post67139

Присланные файлы:
rdriv.sys - инфицирован Trojan.NtRootKit.61
c:\windows\svchost32.exe - инфицирован Win32.HLLW.MyBot
Удалить с помощью отложенного удаления в AVZ (меню Файл).

Удалить с помощью Диспетчера служб и драйверов в AVZ (меню Сервис) службу "Imap Burn Controls" (если останется после очистки следов удаляемых файлов в системе).

PS. Логи надо присоеденять к сообщению на форуме (как в первом вашем сообщении).

1. Удалил файлы
2. Перезагрузился
3. Удалил службу "Imap Burn Controls"
4. Перезагрузился
5. Слепил логи

На первый взгляд - проблема исчезла...
Неужели все было так просто? :?
Просмотрите пожалуйста мои логи и если там действительно все в порядке - дайте знать:)

И еще, меня беспокоит одно из сообщений которое выдает AVZ во время проверки системы - Функция ZwCreateKey (29) перехвачена (8056F063->F7740AC8), перехватчик sptd.sys - это нормально? Так и должно быть?

Заранее благодарен;)

Sptd.sys-является частью Daemon tools.

http://www.greatis.com/appdata/a/s/sptd.sys.htm

C:\WINDOWS\System32\Drivers\dtscsi.sys
C:\WINDOWS\System32\Drivers\sptd.sys

Эти можно прислать для профилактики. А так похоже чисто.

Ещё почистить Hosts, оставив строку:
127.0.0.1 localhost