-
Junior Member
- Вес репутации
- 64
Неизвестный вирус
1)Windows xp sp2
2)Symantec Antivirus 10.0
-После ввода пароля и до появления рабочего стола проходит много времени...что на мой взгляд аномально.
-После включения компьютера через минут 5-10 начинают выскакивать сообщения от Symantec о рассылке писем по множеству адресов. И эти сообщения заполняют весь экран.
При документировании загрузки (через F8) были обнаружены следующие необычные файлы:
spk58.sys
ntio922.sys
Последний раз редактировалось sinzovmi; 10.09.2008 в 20:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Spk58');
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
SetServiceStart('Spk58', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\Spk58.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Spk58.sys');
BC_ImportALL;
BC_DeleteSvc('Spk58');
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16796).
4. Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
файлы с каратнином отправил. Новые логи делаю. Сейчас вышлю. Дошли??
В автозагрузке обнаружил подозрительные файлы:
hkcmd.exe
igfxtray.exe
fppdis3a.exe
Добавлено через 1 минуту
ОБНОВЛЕНИЕ БАЗЫ СДЕЛАТЬ НЕ МОГУ. ВЫДАЕТСЯ ОШИБКА"AVZUPD.ZIP-ФАЙЛ ПОВРЕЖДЕН"
Последний раз редактировалось sinzovmi; 22.01.2008 в 16:53.
Причина: Добавлено
-
Попробуйте переключить Источник.
Если все равно не пойдет, делайте логи так.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
Последний раз редактировалось sinzovmi; 10.09.2008 в 20:46.
-
Junior Member
- Вес репутации
- 64
И что насчет файлов в автозагрузке??
Компьютер также после ввода имени пользователя и пароля...долго висит до появления рабочего стола.
-
Выполните такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('F:\xn1i9x.com');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Больше ничего плохого не видно, но на всякий случай пришлите по правилам файл C:\huadio.tmp.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Добавлено через 58 секунд
hkcmd.exe
igfxtray.exe
fppdis3a.exe
эти нормальные, не беспокойтесь
Добавлено через 2 минуты
Пардон, еще один хвост проглядел.
Вот такой скриптик вдогонку:
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось Bratez; 22.01.2008 в 17:29.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
Спасибо. Еще такой вопрос: пользователь при сканировании антивирусом Symantec, повредил файл svchost После этого не запускаются многие службы. Вы можете помочь? Или нужно писать в другой раздел?
Добавлено через 9 минут
А если конкретно..то при загрузке вылезает сообщение вида: инструкция по адресу А обратилась к памяти по адресу А(вверху написано что название процесса (svchost)
Добавлено через 36 секунд
Может быть это еще какой то кривой вирус?
Последний раз редактировалось sinzovmi; 22.01.2008 в 18:31.
Причина: Добавлено
-
-
-
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
Высылаю новые логи. Прошу прощения что так долго.
Проблема с файлом svchost.exe , которая была описна выше.
Последний раз редактировалось sinzovmi; 10.09.2008 в 20:46.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\huadio.tmp','');
DeleteFile('C:\huadio.tmp');
BC_ImportDeletedList;
BC_DeleteSvc('autorun');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Посмотрите, нужно ли вам что-либо из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
Заплатки на Windows после SP2 регулярно устанавливаете?
Подозреваю, что нет
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
Все сделал, что написали. Но симптомы те же.
-
Эти симптомы в 95% случаев лечатся установкой соответствующих обновлений Windows. Если у вас русская (не MUI-шная) версия, скачайте и установите вот этот пакет: http://poleznosti.ru/soft/file_catal...20060821091454.
I am not young enough to know everything...
-