Посмотрите логи-2
Вот лог еще одного компьютера
Посмотрите и его плиз.
Очень меня напрягает эта строчка:
Модули пространства ядра
C:\WINDOWS\system32\drivers\sssjpq.sys F8AB3000 002000 (8192) .
но файла sssjpq.sys нет в системе. Смотрел и в досе, и через лайв сд,
и через ICE SWORD.
Вылечил почти все но по ощущениям чтото осталось
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_QrFile('C:\WINDOWS\system32\drivers\sssjpq.sys'); BC_QrSvc('sssjpq'); BC_DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys'); BC_DeleteSvc('Winns51'); BC_DeleteSvc('ids0018a'); BC_DeleteSvc('ids00180'); BC_DeleteSvc('ids0015d'); BC_DeleteSvc('ids0014f'); BC_DeleteSvc('ids00118'); BC_DeleteSvc('ids0005c'); BC_DeleteSvc('ids00026'); BC_DeleteSvc('sssjpq'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24760).
Сделайте новый лог syscheck.
I am not young enough to know everything...
Сделал. Точно осталось чтото-пришлось avz переименовывать после перезагрузки.
Блин опять появилось три файла в диспетчере-
Лог cureit
wingjaq.exe;c:\tmp;Trojan.Spambot.3378;Удален.;
winrvxnj.exe;c:\tmp;BackDoor.FireOn.origin;Неизлеч им.Перемещен.;
winwpyog.exe;c:\tmp;Trojan.Spambot.3364;Удален.;
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('aic32p'); SetServiceStart('aic32p', 4); QuarantineFile('C:\WINDOWS\system32\drivers\sssjpq.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys'); BC_DeleteSvc('aic32p'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил, если что-то попадет.
Сделайте еще раз syscheck.
I am not young enough to know everything...
В каратине только ini файлы-прислал
Доброе утро.
Восстановление системы отключил.
Вот лог syschek.
Все таки очень хотелось бы вылечиться полностью
Помоготи пожалуйста. Спасибо
Скачайте,меню,File,появится аналог проводника,найти:
правая кнопка мыши сначала выберите Copy To и сохраните куда угодно,чтобы прислать нам на анализ,затем Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\drivers\sssjpq.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Скопированный IceSword'ом файл запакуйте в архив с паролем "virus" и загрузите по красной ссылке вверху темы,повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\sssjpq.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Этого файла в системе по указанному адресу нет.Смотрел icesword.Ну я не знаю почему...
Также в msconfig в закладке system.ini была мной найдена строчка [ampuku] ss=128808970546227.
Поиск по гуглу дал-TrojanDownloader.Small.xen.
Может это какнибудь прояснит ситауцию.
Вот логи после скрипта.
Такс, ещо прописаны две строчки- [MCIDRV_VER] Devicemb=89758437683
[MCI_DPI32] DRV_VER=Число
Цитата с дного сайта: Вирус инфицирует запускаемые файлы путём перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла.
У меня попалась разновидность вируса которая интегрировалась в систему помимо IpFilterDriver как SCSI контроллер у которого вместо драйвера было указано \??\c:\windows\system32\drivers\.sys по моему с именем DPTI3910, уже не помню. Это был основной кусок ядра вируса, мы его чудом сдампали из процессов при помощи avz.
IpFilterDriver у меня присутствует в диспетчере службы драйвером в avz
Добавлено через 5 минут
Может это все бред что я написал.. но уже просто какбы достал меня этот комп.. столько времени не могу дрянь вывести...
Последний раз редактировалось Yeliseevs; 18.06.2008 в 11:28. Причина: Добавлено
ХЕХ... И все таки одолел я эту дрянь!!!
Вот лог-вроде бы чистый. Посмотрите плиз
неужели все хорошо?
Добавлено через 1 час 8 минут
Насчет C:\WINDOWS\system32\drivers\sssjpq.sys
У каждого пользователя в реестре создаётся раздел в HKCU\Software\<логин>914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей.
Вот где основное тело вируса.
Пришлось заменить explorer.exe ctfmon.exe и другие файлы которые загружаются вместе с системой. размер их был выше, чем на чистой машине. хотя свежий cureit писал что они заражены win32.sector.5 и лечих их.
Хотелось бы чтобы кто-нибудь отписался. И вообще спасибо этому сайту за огромную помощь.
Последний раз редактировалось Yeliseevs; 18.06.2008 в 18:28. Причина: Добавлено
приложите лог cureit
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Yeliseevs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
