Добрый день!
Мне позвонил провайдер и сказал, что с моего IP-адреса идет рассылка спама. Проверил свой комп Касперским и DrWeb - CureIT, оба обнаружили Trojan.NtRootKit.248 в файле ksys.sys, затем занялся поиском в интернете и вышел на Ваш сайт.
Проблемы те же, что и описанные здесь: http://virusinfo.info/showthread.php?t=10124.
Все тоже самое, DrWeb - CureIT обнаружила Trojan.NtRootKit.248 в файле ksys.sys, которые всякий раз детектируются после перезагрузки системы (при отключенном восстановлении системы). При запуске AVZ комп выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеаю заметить точно).
В безопасном режиме AVZ запускается, но логи не создает.
В связи с тем, что я всего лишь пользователь, самостоятельно разобраться с тем, что описывалось в указанной выше теме на трех страниах, увы не смог.
HiJackThis.log прилагаю
Очень верю в Вашу помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
cureit-beta нашел еще Trojan.NtRootKit.341 в файле C:/system32/drivers/runtime2.sy_ и удалил его.
AVZ выдает тоже самое и вырубает систему.
Gmer - абсолютно аналогично: выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеваю заметить точно). Вроде как в начале красным шрифтом написал что-то как раз про C:/system32/drivers/runtime2.sys и вырубился.
В Safe mode файл C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe не нашел, в обычном режиме тоже.
В Safe mode пофиксил только:
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
этих строк:
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
O4 - HKCU\..\Run: [XP restart system] h
В Safe mode не видно.
В обычном режиме они есть, но фиксить не стал, так как если правильно понял, то нужно фиксить именно в Safe mode, если это не так, поправьте.
За не имением ничего больше, еще раз прилагаю HiJackThis.log, после того что удалось сделать.
При попытке выполнить скрипт та же ошибка ( выдает системную ошибку и перегружается
, при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys)
Строки:
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\user\LOCALS~1\Temp\6052.exe
O4 - HKCU\..\Run: [XP restart system] h
пофиксил, перезагрузился.
Попытался снова сделать AVZ логи - то же самое, выдает системную ошибку и перегружается
1. Переименуйте папку с AVZ в 1, а файл avz.exe в 1.exe.
2. Сделайте дополнительный лог как написано здесь.
3. После переименования попробуйте сделать ещё раз логи как обычно.
Добавлено через 15 минут
И сразу вопрос вдогонку: в карантине 3 папки, за 290707, 300707 и 310707, после выполнения появится еще и четвертая, если я правильно понимаю. Какой карантин присылать последний или все?
Последний раз редактировалось RomulN; 31.07.2007 в 05:20.
Причина: Добавлено сообщение
После выполнения скрипта компьютер перезагрузится.
Вы не разу так и не прислали карантин,поэтому отправьте его по очереди согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11425
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11425
Добавьте в карантин ещё и этот файл - C:\Documents and Settings\user\Рабочий стол\ФЛЕШКА ДЕКАБРЬ 05\ФЛЕШКА ДЕКАБРЬ 05\Флешка\Томск\ПРИКАЗЫ\Приказы долгосрочные\Склад\Проверка ББ на качество продукции.doc
2.Удалите все задание их планировщика задач
3.Ваш компьютер находиться в домене?
4.давайте ещё и вот этот файлик в карантин
Код:
begin
QuarantineFile('C:\WINDOWS\Installer\{99ADC6C1-45D9-4D5C-B1CD-EB0F15FB529B}\IMAGEFOX_STRTUP_SHRTCUT.exe','');
end.
Последний раз редактировалось Muzzle; 31.07.2007 в 12:01.
Все сделал по списку.
По поводу домена- раньше был, теперь нет, настройки еще остались.
Карантин последний:
Файл сохранён как 070801_055743_virus_46afe897d29b2.zip
Советую работать за компьютером под пользователем с ограничеными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: