невидимый вирус

Printable View

02.02.2009, 15:56
qnick

Вложений: 3

невидимый вирус

На машине была куча троянов и вирусов. Все что смог удалил, но, видимо, что-то осталось.
Когда пингую любой антивирусный адрес (drweb.com, avast.com и т.д.), то пингуется 127.0.0.1 - файл hosts при этом чистый, проверял несколько раз, nslookup на эти адреса выдает нормальные айпишники.
Соответственно, сайты с антивирусами не грузятся.
avz из подозрительного выдает только эти строчки:
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000][quote][SIZE=2][SIZE=2][COLOR=black]Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp E189DEFC[/COLOR][/SIZE]
[SIZE=2][COLOR=black]Функция NtFlushInstructionCache (4E) - модификация машинного кода. Метод JmpTo. jmp E189DFDC[/COLOR][/SIZE]
[/SIZE][/quote][COLOR=#000000]а если его попросить восстановить функции, то после перезагрузки эти строчки вылезают снова.[/COLOR]
[COLOR=#000000]PS: virusinfo_cure.zip на форум не загружается из-за размера (1.17Мб)[/COLOR]
[/COLOR][/SIZE][/COLOR][/SIZE]
02.02.2009, 16:03
Гриша

Отключите восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\User\Local Settings\Temp\KB62.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\KB62.exe','');
DeleteFile('digeste.dll');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\KB62.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\System Volume Information\_restore{50A30BDC-021C-477C-AC80-8992FD79FBB5}\RP278\A0038301.exe');
DeleteFile('C:\System Volume Information\_restore{50A30BDC-021C-477C-AC80-8992FD79FBB5}\RP278\A0038306.exe');
DeleteFile('C:\Users\User\Local Settings\Temp\KB62.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
06.02.2009, 13:37
qnick

Вложений: 3

прошу прощенья, что долго не отвечал, не было доступа к компьютеру.
Карантин 090206_133519_virusinfo_cure_498c12670d000.zip
Размер файла 69790
MD5 d5747a2ccf0172754e5ec64c5b9de0d7
06.02.2009, 13:50
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\systemroot\system32\drivers\TDSSmaxt.sys');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
07.02.2009, 13:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user\local settings\temp\kb62.exe - [B]Backdoor.Win32.Small.gyp[/B] (DrWEB: Trojan.Inject.5344)[*] c:\program files\microsoft common\svchost.exe - [B]Backdoor.Win32.Agent.wci[/B] (DrWEB: Trojan.MulDrop.29375)[*] c:\users\user\local settings\temp\kb62.exe - [B]Backdoor.Win32.Small.gyp[/B] (DrWEB: Trojan.Inject.5344)[/LIST][/LIST]