Вот лог еще одного компьютера
Посмотрите и его плиз.
Очень меня напрягает эта строчка:
Модули пространства ядра
C:\WINDOWS\system32\drivers\sssjpq.sys F8AB3000 002000 (8192) .
но файла sssjpq.sys нет в системе. Смотрел и в досе, и через лайв сд,
и через ICE SWORD.
Вылечил почти все но по ощущениям чтото осталось
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сделал. Точно осталось чтото-пришлось avz переименовывать после перезагрузки.
Блин опять появилось три файла в диспетчере-
Лог cureit
wingjaq.exe;c:\tmp;Trojan.Spambot.3378;Удален.;
winrvxnj.exe;c:\tmp;BackDoor.FireOn.origin;Неизлеч им.Перемещен.;
winwpyog.exe;c:\tmp;Trojan.Spambot.3364;Удален.;
правая кнопка мыши сначала выберите Copy To и сохраните куда угодно,чтобы прислать нам на анализ,затем Force Delete на запрос о перезагрузке ответьте положительно.
Этого файла в системе по указанному адресу нет.Смотрел icesword.Ну я не знаю почему...
Также в msconfig в закладке system.ini была мной найдена строчка [ampuku] ss=128808970546227.
Поиск по гуглу дал-TrojanDownloader.Small.xen.
Может это какнибудь прояснит ситауцию.
Вот логи после скрипта.
Такс, ещо прописаны две строчки- [MCIDRV_VER] Devicemb=89758437683
[MCI_DPI32] DRV_VER=Число
Цитата с дного сайта: Вирус инфицирует запускаемые файлы путём перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла.
У меня попалась разновидность вируса которая интегрировалась в систему помимо IpFilterDriver как SCSI контроллер у которого вместо драйвера было указано \??\c:\windows\system32\drivers\.sys по моему с именем DPTI3910, уже не помню. Это был основной кусок ядра вируса, мы его чудом сдампали из процессов при помощи avz.
IpFilterDriver у меня присутствует в диспетчере службы драйвером в avz
Добавлено через 5 минут
Может это все бред что я написал.. но уже просто какбы достал меня этот комп.. столько времени не могу дрянь вывести...
Последний раз редактировалось Yeliseevs; 18.06.2008 в 11:28.
Причина: Добавлено
Насчет C:\WINDOWS\system32\drivers\sssjpq.sys
У каждого пользователя в реестре создаётся раздел в HKCU\Software\<логин>914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей.
Вот где основное тело вируса.
Пришлось заменить explorer.exe ctfmon.exe и другие файлы которые загружаются вместе с системой. размер их был выше, чем на чистой машине. хотя свежий cureit писал что они заражены win32.sector.5 и лечих их.
Хотелось бы чтобы кто-нибудь отписался. И вообще спасибо этому сайту за огромную помощь.
Последний раз редактировалось Yeliseevs; 18.06.2008 в 18:28.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: