буйство вирусов?!

**SMajor** · 13.09.2007, 11:08

Извините...
Посмотрите вот этот лог (создан avz-ом).

P.S.: а тот лог зазипован с паролем virus.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**SMajor** · 13.09.2007, 15:33

Готово.
Эти логи, или я чего напутал?

**SMajor** · 13.09.2007, 15:35

Карантин:

Результат загрузки

Файл сохранён как070913_063412_virus_46e920347a4fc.zipРазмер файла359369MD5d7df507d65a6455979ea4b06d2ea35f4

**Bratez** · 13.09.2007, 15:56

Выполните следующий скрипт:

Код:

begin
 BC_DeleteSvc('msupdate');
 BC_DeleteSvc('kcp');
 BC_DeleteSvc('NDnet1');
 BC_DeleteSvc('protect');
 BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.

Потом еще один:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Scmn41', 'Start');
 RebootWindows(true); 
end.

Добавлено через 33 секунды

После этого попытайтесь найти через AVZ файл Scmn41.sys

**SMajor** · 13.09.2007, 16:09

Скрипты выполнил (после первого вывалился в синий экран), файл не найден.

Что делать дальше?

**Bratez** · 13.09.2007, 16:20

Похоже, там главный - protect.sys. Оставим пока его в покое.
Выполните такой скрипт:

Код:

begin
 BC_DeleteSvc('msupdate');
 BC_DeleteSvc('kcp');
 BC_DeleteSvc('NDnet1');
 BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.

и сделайте еще раз "дополнительный лог".

**SMajor** · 13.09.2007, 16:44

Готово

**SMajor** · 13.09.2007, 16:45

И лог вдогонку

**PavelA** · 13.09.2007, 16:56

protect.sys тоже удалился.

Scmn41.sys - а это все сидит.

**Bratez** · 13.09.2007, 16:56

Похоже, первый скрипт из #24 все-таки сработал, потому что protect.sys исчез бесследно. Пробуйте еще раз, в нормальном режиме:

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Scmn41', 'Start');
 RebootWindows(true); 
end.

После перезагрузки ищите Scmn41.sys.

**SMajor** · 13.09.2007, 17:07

Скрипт выполнил (через синий экран), файл не нашел.

Что дальше?

**Bratez** · 13.09.2007, 17:32

Заколдованый прямо какой-то!
Осталось загрузиться в консоль восстановления или с LiveCD и прибить его там. Живет он скорее всего в windows\system32\drivers.

**SMajor** · 13.09.2007, 17:57

А как сработать в консоли (или где добыть LiveCD)?

XL · 13.09.2007, 18:03

Старый добрый DOS помните?

Если нет, то придется...
Собственно, а давайте-ка попробуем сделать лог через Rootkit Unhooker!
Скачать RKU
С созданием лога справитесь или подсказать относительно последовательности нажатий?

*****

еще один вариант, не связанный с live cd&recovery console - можно извлечь HDD из компьютера и подключить его к другой машине, из под которой поискать этот драйвер в системной папке. так нагляднее будет, да и антивирусом провериться можно.

**SMajor** · 13.09.2007, 21:38

Что-то из ДОСа помню, но последовательность - лучше подскажите, плз.

Добавлено через 3 часа 5 минут

Уважаемые, вы где пропали?

**V_Bond** · 13.09.2007, 21:48

http://virusinfo.info/showthread.php?t=6287

**SMajor** · 13.09.2007, 22:32

М-м-м...
Это я уже скачал, а вот где написано чего надо нажимать?!

P.S.: еще один влет на вирусы, и я начну давать консультации равзработчикам антивирусного ПО

Добавлено через 17 минут

Вроде как я его... того...
Кажется, грохнул я Scmn41.sys руткитом.

Как это проверить?

**V_Bond** · 13.09.2007, 22:37

сделать новый лог ....

**SMajor** · 13.09.2007, 22:55

Во кино...
Руткит не удалил его - нашел в консоли, удалил (как показала консоль), а в логах - опять есть?!

**V_Bond** · 13.09.2007, 23:17

загружайтесь с с live cd и удаляйте ...

буйство вирусов?! (заявка № 12401)

Опции темы

Похожие темы

Куча вирусов

куча вирусов

Что то Вирусов много Стало-И пришла ко мне беда,Что Вирусов много стало помогите пожалуйста мне :)

Кучка вирусов

Куча вирусов!

Ваши права в разделе