Подозрение на вирус

Printable View

08.09.2010, 14:00
Commilfo

Подозрение на вирус

Привет,

AVZ нашел несколько вирусов, вылечил, но осталась пачка перехватчиков всех подряд ntdll.dll, user32.dll, ws2_32.dll и тд, и "подозрение на маскировку ключа реестра службы/драйвера ywzksrj".
И еще, что может означать "Повреждено меню настройки отображения папок"?

Прилагаю логи.

Elantech - драйвер тачпада.
08.09.2010, 14:13
DefesT

Доброго времени суток
[URL="http://virusinfo.info/showthread.php?t=4905"]Отключите восстановление системы[/URL]
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\DOCUME~1\EEE100~1\LOCALS~1\Temp\pwliqaoc.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL])
08.09.2010, 17:37
Commilfo

Помогло лишь частично, sdra64 не победился, и в карантин не пошел - прямое чтение и нет доступа.
-----
avz не смог взять в карантин sdra64, а вручную - получилось, и он нормально удалился из system32 и не появился после перезагрузки.
Карантин отправил.
08.09.2010, 18:04
DefesT

[QUOTE]Файл успешно помещен в карантин (C:\WINDOWS\system32\sdra64.exe)
[/QUOTE]
Пришлите карантин!
[QUOTE='Commilfo;703459']sdra64 не победился,[/QUOTE]
Потому что отключить надо было [URL="http://virusinfo.info/showthread.php?t=4905"]это[/URL]!!! Отключите!
Сохраните текст ниже как cleanup.bat в ту же папку, где находится 314vbg2f.exe (gmer)
[CODE]314vbg2f.exe -del service ywzksrj
314vbg2f.exe -del file "C:\WINDOWS\system32\jhnmdgt.dll"
314vbg2f.exe -del file "C:\WINDOWS\system32\sdra64.exe"
314vbg2f.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ywzksrj"
314vbg2f.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ywzksrj"
314vbg2f.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
08.09.2010, 18:24
Commilfo

С SystemRestore нехорошо получилось, был уверен, что оно отключено.
Как я уже говорил, я удалил sdra64 вручную, и после перезагрузки он не появился. Батник cleanup выдал "не найден" на все строки, jhnmdgt.dll, sdra64.exe, ywzksrj.

gmer работает очень долго, как доработает выложу лог.
08.09.2010, 20:32
Commilfo

По-видимому, все чисто.
08.09.2010, 20:34
Никита Соловьев

[QUOTE='Commilfo;703570']По-видимому, все чисто[/QUOTE]Подтверждаю
09.09.2010, 20:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\sdra64.exe - [B]Trojan.Win32.Gibi.pc[/B] ( DrWEB: Trojan.MulDrop1.46279, BitDefender: Trojan.Generic.KD.36335, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:AutoRun-BPN [Wrm] )[/LIST][/LIST]