Компьютер генерирует TCP пакеты на адрес 208.72.168.253 по 4099 порту.
Нортон антивирус ничего не обнаруживает.
При сканировании AZV выявился левый процесс в модуле пространства ядра: Qcuh45.sys. Поиск по файловой системе ничего не дал.
В реестре в ветке HKLM\SYSTEM\CurentControlSet\Enum\Root, а также еще в 2 ControlSet'ах есть раздел \LEGACY_QCUH45\ который не удаляется даже в SafeMode.
virusinfo_cure.zip - удалите через мой кабинет вложения - это карантин и загружается по ссылке вверху страницы.
Не дает удалить, говорит недостаточно прав. И он пустой.
Случайно отправил его вместо virusinfo_syscheck.zip, который досылаю:
Скачайте [url=http://ifolder.ru/6210513]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем C:\WINDOWS\system32\Drivers\Qcuh45.sys и C:\WINDOWS\system32\Drivers\msthreat.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Qcuh45.sys','');
DeleteFile('Qcuh45.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Qcuh45.sys');
DeleteFile('C:\WINDOWS\System32\drivers\msthreat.sys');
BC_ImportDeletedList;
BC_DeleteSvc('msthreat');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26636[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe [/CODE]
Повторите логи.
Спасибо, эта машина полечилась. Вот логи после лечения:
Но есть подобная же проблема с др. машиной (см. следующий пост)
Добавлено: Карантин оказался пустой.
Проблемы какие-то наблюдаются с этой машиной?
Кроме того, что при загрузке говорит что найдено 2 устройства (Поиск оборудования) у которых нет названия (пишет "Нет данных") - нет.
Попробуйте выполнить такой скрипт в АВЗ и отпишитесь о результате
[code]begin
ExecuteStdScr(6);
RebootWindows(true);
end.[/code]
Скрипт не сработал.
Вручную удалил в диспетчере устройств эти 2 устройства - проблема снялась.
Добавлено: Черт, забыл записать как назывались устройства (в смысле ключей в реестре).
[size="1"][color="#666686"][B][I]Добавлено через 1 час 10 минут[/I][/B][/color][/size]
Извиняюсь, не из этой темы карантин отправил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\msserv.exe - [B]Packed.Win32.Tibs.jn[/B] (DrWEB: Trojan.Packed.555)[*] c:\\windows\\system32\\kdzib.exe - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.based.22)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ddx[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]