Непрерывно идёт входящий и исходящий трафик HTTP (иногда SMTP)
от имени svchost.exe
AVP, DrWeb и AVZ ничего не обнаруживают.
Запуск CureIt в безопасном режиме также ничего не дал.
Все базы антивирусов новые (вчерашние).
Printable View
Непрерывно идёт входящий и исходящий трафик HTTP (иногда SMTP)
от имени svchost.exe
AVP, DrWeb и AVZ ничего не обнаруживают.
Запуск CureIt в безопасном режиме также ничего не дал.
Все базы антивирусов новые (вчерашние).
выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\D:\Program Files\DrWeb\oiKr447h.sys','');
QuarantineFile('systemroot\system32\tscupgrd.exe','');
QuarantineFile('D:\WINDOWS\RTHDCPL.EXE','');
QuarantineFile('iisui50.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить получившийся карантин.
Установить AVZPM. Перезагрузиться. Сделать повторно логи.
Спасибо за ответ.
Всё сделал.
P.S.
Файл virusinfo_cure.zip на форум загрузить не удалось
(размер 4MB у него получился).
Ссылка на файл:
[url]http://virusinfo.info/upload_virus.php?tid=13100[/url] - грузить надо сюда.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
D:\WINDOWS\system32\iisui50.dll - файл от Майкрософта и сам же Майкрософт на вирустотал на него ругается.
D:\Program Files\DrWeb\oiKr447h.sys - поищите через AVZ.
Если найдется, добавить в карантин и загрузить отдельно.
Логи из удаленной сессии делали или локально на машине?
Файл с вирусом загрузил по вышеприведённой ссылке.
Логи делал локально.
Про карантин:
Ошибка карантина файла, попытка прямого чтения (D:\Program Files\DrWeb\oiKr447h.sys)
Карантин с использованием прямого чтения - ошибка
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 17 минут[/I][/B][/color][/size]
Из второй операционки (в ней вируса вроде нет) поискал oiKr447h.sys по диску.
Нет такого файла.
А загруженный мною ранее на сайт virusinfo_cure.zip вместе с новыми логами ничего полезного не содержат?
В том, что было загружено только одно подозрение на D:\WINDOWS\system32\iisui50.dll
Попрошу других посмотреть. Возможны особенности Win2003 не учитываются AVZ.
Ясно, спасибо.
Файл iisui50.dll прямо в работающей системе можно переименовать.
Т.е. он не заблокирован (DLL не загружена?).
Даже не знаю, чем ещё можно систему проверить. :?
Сделайте дополнительный лог в безопасном режиме:
[url]http://virusinfo.info/showthread.php?t=10387[/url]
Высылаю дополнительный лог, сделанный в безопасном режиме.
Что за фрукт будет?
[code]
begin
QuarantineFile('D:\WINDOWS\is-A55N8.exe','');
end.[/code]
Результат выполнения:
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\is-A55N8.exe)
Карантин с использованием прямого чтения - ошибка
Файла такого на самом деле нет.
В прошлый раз просили прислать oiKr447h.sys, и его тоже не было.
Похоже на то, что какой-то процесс маскируется: создаёт левые файлы и себя туда перебрасывает. Причём файлы похоже новые всё время.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\iisui50.dll - [B]HEUR:Trojan.Win32.Generic[/B] (DrWEB: Trojan.Inject.456)[/LIST][/LIST]