Не могу прибить вируса

Printable View

12.10.2007, 10:06
edward_1

Вложений: 3

Не могу прибить вируса

Проблема началась еще неделю назад. Поймал какой-то вирус, который генерил большой исходящий трафик. После неоднократных попыток избавиться от него разными антивирусными средствами трафик исчез, возникло ощущение что вируса не стало. Подозрения возникли вновь после того как перестали запускаться программы, написанные мной на MS VC++ (код 100% рабочий, проверено на др. компах). Попытался лечить с помощью AVZ. Он нашел еще несколько вирусов, все почистил, но... Теперь не работает брандмауэр. И стандартный скрипт AVZ номер три выполняется только в безопасном режиме. В обычном режиме при запуске этого скрипта происходит аварийная перезагрузка компьютера.

Добавление: в данный момент вновь наблюдаю мощный исходящий трафик.
Логи прилагаю:
12.10.2007, 10:18
PavelA

Выполнить, отключив антивирус:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Mwfp62.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Заслать карантин по Правилам Приложение 3.

Есть ощущение, что установлен Касперский очень старый. Надо обновить версию
12.10.2007, 10:35
Bratez

Mwfp62.sys - 100% зловред, да и место его проживания известно,
поэтому я предлагаю следующий убойный скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Mwfp62.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Mwfp62.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки отправьте карантин и сделайте новые логи + на всякий случай дополнительный лог: [url]http://virusinfo.info/showthread.php?t=10387[/url]
12.10.2007, 14:35
edward_1

Вложений: 3

Выполнил оба скрипта. Карантин выслал. Правильный файл - последний. Два предыдущих можно удалить. Логи прилагаю:
12.10.2007, 14:39
edward_1

Вложений: 1

Вот дополнительный лог:
12.10.2007, 14:40
Bratez

Операция прошла успешно. Надеюсь, проблем больше не наблюдается?
12.10.2007, 14:43
edward_1

Трафика пока что нет. Но программки, которые я писал на MS VC++ по прежнему не запускаются. Сейчас попробую брандмауэр восстановить, может это поможет.
12.10.2007, 14:43
Bratez

Все-таки в реестре ключ драйвера остался.
Выполните скрипт:
[code]begin
BC_DeleteSvc('Mwfp62');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите доп. лог.
12.10.2007, 15:01
edward_1

Вложений: 1

Брандмауэр поднял. С MS VC++ проблемы так и остались. Возможно причина в чем-то другом.
Скрипт выполнил. Вот доп.лог:
12.10.2007, 15:19
Bratez

Теперь чисто.
22.02.2009, 02:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\mwfp62.sys - [B]Rootkit.Win32.Agent.jc[/B] (DrWEB: Trojan.NtRootKit.405)[/LIST][/LIST]