После проверки с помощью AVZ и последующего лечения, не смог убить руткит.
Такую штуку нашел на 2х компьютерах.
Вот логи от первого.
ЗЫ: Не подскажете как находить и лечить такие вещи?
Printable View
После проверки с помощью AVZ и последующего лечения, не смог убить руткит.
Такую штуку нашел на 2х компьютерах.
Вот логи от первого.
ЗЫ: Не подскажете как находить и лечить такие вещи?
Какой такой руткит, klif.sys что ли? :D
Не видно ничего, кроме следов парочки ранее убиенных тараканов.
На всякий случай даю скрипт по полной схеме:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphcprbj0ecbc.scr','');
QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\Documents and Settings\Администратор.CORPORATE_GRAY.000\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Администратор.CORPORATE_GRAY.000\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
DeleteFile('C:\WINDOWS\system32\blphcprbj0ecbc.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=26375[/url]).
Сделайте новые логи, начиная с п.10 правил.
P.S. Это для первого. Второй вынесен в отдельную тему: [url]http://virusinfo.info/showthread.php?t=26379[/url].
Нет.
Не klif.sys :)
AVZ выдавал кто действия руткита нейтрализованы.
Посмотрел Сервис - Просмотр модулей ядра и увидел там небезопасные dump_atapi.sys и dump_WMILIB.sys/
На форуме встречал жалобы, что это руткиты, вот и спросил.
Повторные логи.
Карантин выслал.
Все чисто.
Пиво с меня!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]