Обнаружен новый вирус

Добрый день!

Обнаружен новый вирус, не распознаваемый антивирусом Касперского.

Выдается сообщение о том, что заражен файл
c:\windows\system32\sfc_os.dll вирусом
Trojan-Spy.Win32.Banker.alr

Попытка вылечить его антивирусом или восстановить с дистрибутива Windows не приводит к успеху, после перезагрузки вирус остается в машине.

Попытка отключить все загружаемые автоматически программы с помощью утилиты msconfig оказывается также безрезультативной, вторичное заражение компьютера происходит снова.

Сканирование реестра с целью обнаружить наиболее распространенные вредоносные программы (svchost.scr, services.exe и др.) не приводит к положительным результатам. Эти программы не обнаруживаются.

Вирус в файле sfc_os.dll также обнаруживается антивирусом AVG. Антивирус AVG используется на другой машине. На этой машине используется только антивирус Касперского.

Исследование файла показало, что в нем изменены два байта:

Сравнение файлов sfc_os.dll (оригинальный) и SFC_OS.DL2 (зараженный вирусом)
0000E2B8: 8B 90
0000E2B9: C6 90

Файлы, полученные с помощью рекомендуемой процедуры, прилагаются.

С уважением, Р. Искандарян

Ваша система уже больше года not supported. Дырок в ней столько, что не прикрыть никаким Касперским. Рекомендации: срочно обновить до Service Pack 2 и поставить критические заплатки. Иначе толка не будет.

Нету лога исследования с лечением и противодействием руткитам. Если зверь сидит, то хорошо замаскировался.

P.S. Изменённая библиотека - это у вас отключена защита системных файлов Windows, насколько я понимаю. Какой-то зверь пропатчил. А может, кряк такой к системе.

Спасибо, sp2 мы установим.

Пока же самопроизвольно изменился пароль для доступа к этому форуму. Я восстановил пароль по e-mail и сейчас пишу с новым паролем.

Самопроизвольно вирус перестал обнаруживаться.

Межсетевым экраном был заблокирован доступ svchost.exe к адресу 195.91.219.42. Что это за процесс?

Отчет поиска rootkit-ов в приложении.

С уважением, Р. Искандарян.

[QUOTE=supercat]Отчет поиска rootkit-ов в приложении.
[/QUOTE]
увы, это не исследование системы с противодействием руткитам

Нужет лог из пункта 8 правил.

[QUOTE=supercat]самопроизвольно изменился пароль для доступа к этому форуму.[/QUOTE]
Спёрли... Поменяйте ещё раз. И все прочие пароли в интернете тоже поменяйте.

[QUOTE=supercat]Межсетевым экраном был заблокирован доступ svchost.exe к адресу 195.91.219.42. Что это за процесс?[/QUOTE]
Системный процесс. А IP-адрес принадлежит провайдеру Ринет. Символического имени не имеет. Может, там хозяин зверя живёт.

Благодарим за помощь. Автор вируса выявлен и отключен провайдером от сети. Вирус с машины удален.

Сделайте логи ещё раз. Все три, которые требовались.
Контрольный выстрел, хочется убедиться, что всё в порядке.

Если шпиона действительно вынесли, надо в последний раз поменять пароли на всё - и внешние, и внутренние. Да, если не стоит в системе пароль на учётную запись администратора - поставьте обязательно, и позаковыристее, чтобы не сразу взломали.