Здравствуйте. Все симптомы как описано в тут и тут
Подхватит паразита когда попытался установить Акробат флеш плеер скачанный по ссылке с youtube.com. После запуска скачанного setup.exe кис в. 7.0.1.325 с базами 16.03.08 и оутпост 2.1.303 вылетели сразу и записи о них в автозапуске (смотрел прогой starter)
Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys отсутствует
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.
Способ запуска
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
dnsq.dll еще присутсвовал в корневой папке кис.
Перезагрузка в безопасном режиме - синий экран с ошибкой:
0x0000007B (0xF894D528, 0xC0000034, 0x00000000, 0x00000000)
Выполнение скрипта данного в теме в 4.27 результатов не дало, после перезагрузки файлы появились. Этот же скрипт выполнял заuрузившись с mini PE (ругался на DeleteFileMask, все это удалял вручную). Также удалаение всех файлов вручную и под mini PE не дало результатов.
HiJackThis лог смог создать только такой: http://img142.imageshack.us/my.php?i...ackthisss6.jpg при попытке фиксить
O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
HiJackThis выдавал предупреждение о невозможности это сделать.
Снимал винчестер и проверял на другом компьютере кис 7.0.1.235 базы 16.03.08 понаходил во всех этих же файлах Virus.Win32.Xorer.du, Virus.Win32.Xorer.ee. Из-за нехватки времени проверил только каталоги Windows и Documents and Settings.
ЗЫ Спасибо за хороший ресурс, с вашей помощью справлялся со многими зловредами.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Чужие скрипты выполнять нельзя, о чем написано в правилах
2. Прочитайте внимательно и выполните правила http://virusinfo.info/showthread.php?t=1235 , нужны обязательно указанные в правилах логи, которые надо прикрепить вложениями к следующему сообщению, а не запостить в нем.
HiJackThis лог смог создать только такой: http://img142.imageshack.us/my.php?i...ackthisss6.jpg
....
Перезагрузка в безопасном режиме - синий экран с ошибкой:
0x0000007B (0xF894D528, 0xC0000034, 0x00000000, 0x00000000)
HiJackThis при создании лога виснет. avz при сканнировании тоже виснет. При подключении винчестера к другому компьютеру я получу лог с системы другого компьютера
за лог прошу прощения, на работе отвлекли.
Последний раз редактировалось re@l; 26.03.2009 в 16:44.
Удалил паразитов, на компе было отключено востановление системы, но каталоги system volume information были не пусты. Загрузился с mini PE удалил все файлы с \system volume information и поудалял с с:\ и windows\system32 файлы хххххх.log - где х произвольные цифры, и выполнил этот скрипт(хозяйка компа взяла диск с необходимой ей программой и настаивала на переустановке системы )
После перезагрузки уже нормально запустился кис и понаходил вирусы на диске D в .exe и .htm файлах.
Создать лог с помощью стандартного скрипта №2 получилось только после удаления паразитов, компьютер просто зависал при выполнении.
Сделал логи после лечения.
ЗЫ отдельное спасибо тому, кто перенес тему в нужный раздел, приношу свои извинения, в попыхах делал на работе, отвлекали...
Уважаемый(ая) re@l, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: