К сожалению, у меня мало информации, потому что в момент заражения за компьютером был не я. В общем без меня тут как-то пытались разобраться, что-то стерли, но проблем не решили.
Основные симптомы следующие:
При старте компьютера выскакивает сообщение о том, что не удалось загрузить драйвер C:\Windows\System32\drivers\gjkphu.sys
Это сообщение потом выскакивает и во время работы. Периодически выскакивают ошибки доступа к файлам и ошибки процессов, которые приводят к их завершению. В конечном счете компьютер не выдерживает и перезагружается.
Я сначала проверил комп новой версией AVZ 4.29, но он как и 4.27 не смог создать лог файлы (Invalid Variant Type). Удалось сохранить только протокол проверки (avz_log.txt). Поэтому привожу логи старой версии.
Лог Hithisjack новой версии.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ничего не изменилось. Сообщение по прежнему выскакивает. При сканировании AVZ выдает те же предупреждения.Однако есть одна странность. При перезагрузке (к сожалению я не внимательно следил) кажется произошла двойная перезагрузка. Но это не точно. Однако, строка F2, которую надо было пофиксить, исчезла (отсутствие ее в логе означается не то, что я ее стер, а то что ее там и не было).Карантин загрузил.
Карантин залил.
Насчет провайдера. Я из Москвы, у меня Стрим.
Прошу прощения. В прошлый раз забыл сделать обновление базы.
Провел проверку еще раз последней версией (после обновления баз она заработала нормально). Прикрепляю логи.
Хочу обратить внимание, что в логах должны присутствовать dll-ки лежащие в C:\Temp\KARANTIN\SYST32 Это файлы, который обнаружил отец, когда пытался вылечить компьютер. Эти файлы были созданы в момент заражения. Он их перенес из папки SYSTEM32 в эту папку.
P.S. Сообщение при загрузке компа до сих пор появляется.
Trojan.Win32.KillAV.ne C:\WINDOWS\system32\mk120625.dll Virus.Win32.Sality.v C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\bh120625.dll Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\ah120625.dll Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\bh120625.dll Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\ch120625.dll
ВОТ что сменило Ваши серверы на украинские - Trojan.Win32.DNSChanger.aum C:\WINDOWS\system32\kdhpy.exe Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\mk120625.dll Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\qh120625.dll Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\wg116568.dll Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\oh120625.dll Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\xg120625.dll Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\ch120625.dll Trojan.Win32.KillAV.ne c:\windows\system32\xg120625.dll Virus.Win32.Sality.v C:\WINDOWS\system32\atiptaxx.exe Virus.Win32.Sality.v C:\WINDOWS\TEMP\3.tmp Trojan.Win32.KillAV.ne C:\Temp\KARANTIN\SYST32\qh120625.dll not-a-virusownloader.Win32.Popcap.a C:\WINDOWS\Downloaded Program Files\popcaploader.dll Trojan.Win32.KillAV.ne C:\WINDOWS\SYSTEM32\ah120625.dll
Солидно... сейчас напишу план операции
Добавлено через 9 минут
1. Скачиваете с сайта провайдера нужные сетевые настройки - DNS-серверы и прочее
2. Скачиваете лечащую утилиту CureIT (желательно на здоровом компьютере), записываете на компакт диск - у Вас тут и файловый вирус в наличии
3. Отключаетесь от сети, выгружаете антивирус
4. Выполняете скрипт:
Этим мы сбрасываем настройки интернета, придется прописать их по новой
6. Делаете полную проверку компьютера CureIt - файловое заражение должно вылечиться
7. Поздравляете отца с тем, что всех зловредов он заметил
8. Делаете новые логи
Последний раз редактировалось rubin; 18.01.2008 в 23:37.
Причина: Добавлено
3.tmp - полезный системный файл ?
PowerReg SchedulerV2.exe - тоже?
Возможно вредоносный код в них и в зараженных файлах системы один - потому детект одинаков, но если вылечить системный файл - получим работоспособную программу, а если эти - получим бесполезную пустышку...
Хотя возможно ошибаюсь...пациента что-то не видно
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: