После лечения появилось "Функция NtEnumerateKey (47)"

Printable View

10.03.2009, 20:05
GDE

После лечения появилось "Функция NtEnumerateKey (47)"

И снова здравствуйте.
После лечения вируса осталось две непонятные проблемы:
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp 86362DCC
Функция NtFlushInstructionCache (4E) - модификация машинного кода
Что это и как с этим бороться?
Данные прилагаются.
10.03.2009, 20:08
drongo

[code]begin
QuarantineFile('C:\WINDOWS\system32\drivers\senekafucblotf.sys','');
end.[/code]
Пришлите нам его, посмотрим ;)
11.03.2009, 12:19
GDE

ОК , к 12:00 будет

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 33 минуты[/I][/B][/color][/size]

Карантин закачан.
11.03.2009, 12:21
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\senekafucblotf.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

Повторите логи...
11.03.2009, 12:52
GDE

Логи после выполнения скрипта.
11.03.2009, 13:06
Гриша

В логах чисто, установите SP3+all updates...
11.03.2009, 13:30
GDE

SP3 поставил, updates включу, СПАСИБО.
12.03.2009, 13:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\senekafucblotf.sys - [B]Rootkit.Win32.Agent.hui[/B]( DrWEB: Trojan.NtRootKit.2733, BitDefender: Rootkit.16076 )[/LIST][/LIST]