Printable View
Здравствуйте.
Не знаю что и делать уже.
Попросили помочь.
Симптомы были что вконтакте просит SMS-авторизацию.
HOSTS ПУСТОЙ!!!
ROUTE -F не помогает.
Комп был набит вируснёй, стоял NOD32 с последними базами, но не всё ловил.
Сканирование диска нодом убило 6 модификаций Win32.Kryptik все в C:\windows\system32.
После чего прогнали DrWeb CureIt - ещё один PWS.Ibank.
TeamViewer нужен, через него логи и снимали.
Комп далеко, прямо сейчас снять новые не могу.
AVZ
В чём проявляется проблема после всех действий:
Антивирусные сайты открываются (раньше не открывались).
ping vkontakte.ru - пингует 91.188.59.204, расположенный в Литве.
nslookup vkontakte.ru - выдаёт правильный IP настоящего вконтакта
ping vk.com - идёт на 91.188.59.204
nslookup vk.com - выдаёт правильный...
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('mkdrv', 4);
DeleteService('mkdrv');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\WINDOWS\TEMP\8cM0a6tF.sys','');
QuarantineFile('C:\Documents and Settings\mycomp\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteFile('C:\Documents and Settings\mycomp\Application Data\CMedia\CMedia.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
DeleteFile('C:\WINDOWS\TEMP\8cM0a6tF.sys');
DeleteFile('C:\WINDOWS\mkdrv.sys');
DeleteFileMask('C:\Documents and Settings\mycomp\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\mycomp\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи (в полном объеме и в том виде, как написано в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL])
Итак, вроде помогло. VK и vkontakte резолвится нормально.
[B]Логи и карантин:[/B]
[ATTACH]260594[/ATTACH]
[ATTACH]260595[/ATTACH]
[ATTACH]260596[/ATTACH]
Форма загрузки карантина сначала не работала (ругаясь
"Не указана ссылка на тему. Должен быть линк вида [URL]http://virusinfo.info/showthread.php?t=XXXX[/URL] на существующую тему на форуме").
Возможно потому что файл > 5 Mb?
Удалил руками из архива большие файлы teamviewer'a, которые тоже туда попали как подозрительные.
Файл стал весом 3.7 Мб, и даже пролез:
[I][B]первый:[/B]
Файл сохранён как
100814_161745_virusinfo_files_MORIO_4c668969a47af.zip
Размер файла 3771608
MD5 e21aa8be204519239edab34e4302d467
[B]
второй:[/B]
Файл сохранён как
100814_162050_Quarantine_4c668a223ea8b.zip
Размер файла 3987483
MD5 410ca86be9e92d3af465b33cce32bf6f[/I]
На всякий случай, архивы с карантином под паролем:
[URL="http://rghost.ru/2343067"]http://rghost.ru/2343067[/URL]
[URL="http://rghost.ru/2343086"]http://rghost.ru/2343086[/URL]
Что смущает.
В каталоге C:\windows\system32\drivers валяется vdg4njgy.sys, который нельзя ни скопировать куда-нибудь для проверки, ни удалить.
Даже скопировать не получается.
Попробовал написать скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdg4njgy.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\vdg4njgy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
[/CODE]
Выполнил его в безопасном режиме - нифига не сработало, осталась на месте эта дрянь около 13 кб весом.
Если это вирус - может с убунты загружусь и руками прибью. СтОит так сделать? Или есть другой способ? Очень не хочется ехать туда с диском.
[QUOTE='ipswitch;688023']В каталоге C:\windows\system32\drivers валяется vdg4njgy.sys[/QUOTE]Драйвер AVZ
Лог HiJack где?
[QUOTE=thyrex;688049]
Лог HiJack где?[/QUOTE]
[ATTACH]260603[/ATTACH]
В логах ничего подозрительного не видно
Спасибо!
Думаю, можно закрывать.
Главное, выяснили, что vdg4njgy.sys - безвредный. А то название у него подозрительное было.