прошу помощи

Printable View

25.05.2009, 14:50
Figaro2000

прошу помощи

Симптомы -
1. заражение обнаружил DrWeb, пошли сообщения об инфицировании различных файлов в WINDOWS\system32\drivers
2. попытка лечения DrWeb'ом к успеху не привела
3. проверка с помощью AVZ показала, что к explorer Wndows в качестве debugger'а прицепился файл - c:\Program Files\Microsoft Common\svchost.exe (настоящий svchost лежит в C:\WINDOWS\system32\).
этот файл переименован, ключ в реестре удален, система работает относительно стабильно, но в результате п.1 в каталоге драйверов каша - перестали работать USB устройства, звуковая карта и прочее.
25.05.2009, 15:18
PavelA

Да-а-а, многовато всего находили.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\SystemRoot\system32\drivers\wdmaud.sys');
QuarantineFile('\SystemRoot\system32\drivers\wdmaud.sys','');
DelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll','');
QuarantineFile('C:\WINDOWS\system32\qcbbc.exe','');
DeleteService('afhhmtvvtxekwx');
QuarantineFile('C:\WINDOWS\system32\drivers\bnbwwpkx.sys','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\system32\wbem\wmiapsrv.exe','');
QuarantineFile('c:\windows\system32\hotfixq0306270.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\bnbwwpkx.sys');
DeleteFile('C:\WINDOWS\system32\qcbbc.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46491[/url]
25.05.2009, 17:42
Figaro2000

Вложений: 2

готово
25.05.2009, 18:23
Figaro2000

не очень понял - что именно было сделано не по Правилам, но повторю процедуру еще раз
25.05.2009, 18:30
PavelA

Сверху есть крассная ссылка для загрузки карантина.
25.05.2009, 19:31
Figaro2000

закачал как и в прошлый раз по этой смой красной ссылке
сообщение -
Результат загрузки
Файл сохранён как 090525_193039_virus_4a1ab99fbb105.zip
Размер файла 30250
MD5 d059d773aad9790c84958f50fb67d28c

Файл закачан, спасибо!
26.05.2009, 02:09
Bratez

Больше ничего подозрительного не видно.
Для профилактики отключите восстановление системы!
Потом можно включить его обратно.
27.05.2009, 02:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]