Я подцепил вирус. ((( Сперва он выгрузил мой антивирь (Drweb) и отключил службы типа taskmgr and regedit и т.п.
Я их попробовал включить, но они появлялись на секунду и исчезали, а потом снова отключились. Основной файл сохранился как системный в Windows/system32/msnbootdb.exe
Он же прописался в автозагрузку. Когда я его оттуда удаляю, через секунду он снова появляется, т.е из startup он не удаляется.
В program files он создал директорию Bonjour куда прописал dll свою.
Никакими Антивирусами не определяется (drweb вообще не видит, утилита AVP показывает что есть скрытые процессы, но сам файл за вирус не принимает.
Он отрубил все админские службы типа msconfig, regedit и т.п (как восстановить после удаления?)
И разрешил службы удалённого администрирования.
Что делать - не знаю. Если вы мне поможите - буду очень признателен, если нет - то загружусь в safemo и попробую удалить вручную.
В процессах он не видится (скрывает) и просто вырубить процесс у меня не получилось.
Во вложении - скопия самого вируса (что смог) + логи сканов.
Очень н адеюсь на поддержку!!
Спасибо.
Последний раз редактировалось V_Bond; 30.10.2008 в 09:52.
Причина: нельзя прикреплять ничего кроме файлов указаных в правилах ...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Доброй ночи! Сорри что пишу с задержкой на сутки - только с работы пришёл..
Господа, спасибо Вам огромное за оперативность и профессиональность.
Запустил скрипт, при перезагрузке очень стрёмно было, но всё ОК - система чистая!
Только, папка Карантин - пустая, отправлять оттуда нечего. Первые логи (и exe вируса), которые я сюда выкладывал (нарушая правила, сорри) - остались, могу их прислать куда-нить ??
C:\DOCUME~1\chaka\LOCALS~1\Temp\r8TU7d3H.sys видимо не удалось для Вас сохранить.
Ещё, хотел узнать, что делать с этим: (если это, конечно, в вашей компетенции)
>> Заблокированы настройки системы System Restore
параметр HKLMACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig поставил значение 0 , но она всё равно не разблокировалась..
Сейчас обновил базы AVZ и просканировал память снова (до скана дисков пока н дошёл) - и она снова сообщила о перехваченных процессах (лог прикрепил). Скажите, это норм, или снова что-то нето? Комп более (после его перезагр. вашим скриптом) не перезагружал.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: