Опять ЛЕНОЧКА ???

[Andy_skif]

Бестолковые юзера случаем (!!! 3 раза ... ) запустили вложение письма от "ЛЕНОЧКИ" ///.../My_foto.exe. = т.е. спам-троян как я понимаю.

Сам троян я вроде выловил и прибил. но осталась пару странностей:

1) AVZ постоянно находит и исправляет одну и ту же ошибку
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F8358439Syrp70.sys
>>> Функция воcстановлена успешно !
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F83581A5Syrp70.sys
>>> Функция воcстановлена успешно !
Проверено функций: 284, перехвачено: 0, восстановлено: 2
..............
..............
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F8353C5D -> Syrp70.sys
..............
..............
!!! Внимание !!! Восстановлено 2 функций KiST в ходе работы антируткита
и так каждый раз после перезагрузки

2) по сети постоянно куда-то что-то отдается, понемногу - как бы фоново.

3) когда отключаешь сетевое подключение - "синий экран" ...

Хелп, плиз.

[Гриша]

Отключите антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Syrp70.sys','');
QuarantineFile('Syrp70.sys','');
DeleteService('Syrp70 ', );
DeleteFile('Syrp70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syrp70.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Syrp70 ');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22283

Повторите логи.

[Andy_skif]

Скрипт выполнил.
( после перезагрузки винда хотела найти какой-то драйвер ??? )
Карантин отправил.
Логи выслал .
================

всё ОК ?
и что это было ? Интерестно

[Bratez]

Еще не все.
Выполните скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите новый карантин по правилам и повторите логи.

[Andy_skif]

сделал.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
BC_DeleteSvc('Syrp70 ');
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.

[Andy_skif]

сделал

[V_Bond]

ничего подозрительного ...

[Andy_skif]

Огромное спасибо.

а не подскажите, плиз, при сканировании, что должно насторожить в "Протоколе" AVZ или логах AVZ или HijackThis. Бывает же, вроде и ничего и не видать, а зараза есть.

[V_Bond]

только теоретически ...

[Andy_skif]

может хоть примерно, или где-то почитать ?