Downloader + Hacktool.Rootkit + Spambot = нема больше сил
Подцепил 1-го мая, и так и борюсь до сих пор. Доборолся до того, что после отключения и удаления появившихся устройств в Диспетчере устройств перестал загружатся компьютер, пришлось сделать откат.
Симптомы сейчас такие- при загрузке системы после появления приглашения на ввод пароля вываливается окно svhosts с ошибкой по адресу 0х7c918fea по обращению к памяти по адресу 0x00000010, которая не может быть written, долго грузит систему, потом Symantec радостно кричит, что обнаружил Hacktool.Rootkit в каталоге C:\WINDOWS\System32\drivers\tcpsr.sys и доблестно его удалил, после чего начинается активная закачка в системный каталог для временных файлов (установлен C:\TMP) файлов 111.dat, 222.dat и т.п. и разных *.tmp,
вместе с этим начинается бешенная отправка писем, которые Symantec исправно проверяет и не отправляет, в общем через три минуты этих писем уже сотни, машина тормозит, приходится физически выдергивать кабель из сетевушки (подключаюсь к инету через сетевую, хаб, ADSL-модем).
В диспетчере устройств имею кучу экзотических устройств, увеличивающуюся с каждой перезагрузкой - и
TCPSR, WEJ51, TAF16, GRANDE48, CIN17. Когда в процессе работы включаю AZV-Guard, не могу запустить ни одну программу- отказано в доступе.
Перед работой с AZV провел проверку DR-Web-ом, лог следующий =
Итого- работать нельзя, убил уже кучу времени, но квалификации не хватает, прошу помочь.
Последний раз редактировалось Сергей П; 13.05.2008 в 20:02.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Все сделал, компьютер долго завершал работу после отработки скрипта, после перезагрузки опять окошко с ошибкой svhost и после входа в систему новые устройства в диспетчере устройств:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\tcpsr]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"= system32\drivers
Поискал 834668.dll и tcpsr.sys AVZ - не нашёл, 834668.dll + еще каких-то 2 файла я изничтожил ручками в процессе борьбы до обращения к Вам- в папке system32\drivers\834668, удалил всю папку, а tcpsr.sys найти не могу, так как его постоянно находил и удалял Symantec, определял его как Hacktool.Rootkit. Устройство tcpsr в устройствах я прибил, перегрузился - и его больше нет. Жду дальнейших указаний.
З.Ы. Вроде жизнь наладилась, но осталось сообщение от svhost при входе в систему и пугающее меня при работе AVZ сообщение
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Function NtConnectPort (1F) intercepted (80598C34->E1C2342, hook not defined
Functions checked: 284, intercepted: 1, restored: 0
Последний раз редактировалось Сергей П; 13.05.2008 в 01:47.
Выкладываю логи. При выполнении скрипта забыл отключить Symantec, и сразу после выполнения скрипта до перезагрузки Symantec выловил и удалил vdqyodyw.sys, который определил как Trojan Horse.
Доброго времени суток! Снова у компьютера, готов продолжать и добить зверя в его (т.е. моем) логове. Отправляю логи. Кроме того, заметил интересную особенность - я работаю в интернете Maxthon Browser-ом, это надстройка над IE, и при запуске Maxthon в ТМР каталоге появляются файлы 111.dat, 222.dat, 333.dat и Perflib_Perfdata_984.dat. Кроме того в каталоге, где Maxthon установлен, я обнаружил файл p.exe. Высылаю эти файлы в архиве virus.zip.
Пост 19 выполнил. По прежднему при загрузке ошибка svhost.exe и при проверке AVZ -Function NtConnectPort (1F) intercepted (80598C34->E2707400), hook not defined.
Уважаемый(ая) Сергей П, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: