Сегодня переставлял Win Xp Sp2. Решил проверить, вот нашел подозрение. Надеюсь все сделал правильно. Файлы прилагаю.
Printable View
Сегодня переставлял Win Xp Sp2. Решил проверить, вот нашел подозрение. Надеюсь все сделал правильно. Файлы прилагаю.
[QUOTE=i-ale;321339]Сегодня переставлял Win Xp Sp2. [/QUOTE]Почему сразу Сервис Пак 3 не поставили? теперь будем вместе расхлебывать.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.com','');
QuarantineFile('C:\WINDOWS\System32\Drivers\as1xmj1a.SYS','');
DeleteFile('C:\WINDOWS\svchost.com');
DeleteFile('C:\WINDOWS\System32\Drivers\as1xmj1a.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сделал все. Карантин прислал. Только второй файл не добавился.
Пишет:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\as1xmj1a.SYS)
Карантин с использованием прямого чтения - ошибка
Повторные логи прилагаю.
В логах чисто...
Левого svchost теперь действительно нет.
Но вот такого рода сообщения настораживают:[B][B]
\FileSystem\ntfs[IRP_MJ_CREATE] = 85B9B980 -> перехватчик не определен[/B][/B]
Это от эмулятора дисков...
Спасибо за помощь и разъяснения.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 0 минут[/I][/B][/color][/size]
Вопрос в догонку. Я тут еще не очень ориентируюсь, есть ли какие-нибуть заплатки, чтобы недопустить заражение снова?
[QUOTE=i-ale;321372]есть ли какие-нибуть заплатки, чтобы недопустить заражение снова?[/QUOTE]
Начните с установки Сервис Пак 3, возможно потребуется активация системы + уже после СП3 вышло несколько десятков патчей.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.com - [B]Virus.Win32.Neshta.a[/B] (DrWEB: Win32.HLLP.Neshta)[/LIST][/LIST]