Система - Windows XP SP3
Антивирус - Symantec Endpoint Protection
Постоянно находится и удаляется sysenddrv.sys. Шлётся спам. Проход DrWeb CureIt ничего не дал. Прошу помощи...
Система - Windows XP SP3
Антивирус - Symantec Endpoint Protection
Постоянно находится и удаляется sysenddrv.sys. Шлётся спам. Проход DrWeb CureIt ничего не дал. Прошу помощи...
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
Выполнить:
Повторить логи.Код:begin SetAVZPMStatus(True); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
К сожалению - не могу.
Мышь и клавиатура зависают. В Safe Mode - сразу же, в обычном режиме - 2-3 действия дает сделать.
Что делать?
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Гриша,
Всё сделал, как Вы просили. Клавиатура опять не работала, потом вырубилась и мышь, но лог сохранён способом, описанным выше...
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
Посмотрите, пожалуйста, может кто-нибудь поможет добить зверька, вроде бы найденного gmer-ом?
А еще одно озарение в виде USB-клавиатуры не снизошло?
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ajt0wqgg.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\rualigoudn.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 03.03.2009 в 17:38.
За неимением гербовой бумаги, пришлось писАть на простой - под рукой абсолютно случайно оказалась только мышь, клавиатурой в окрУге не пахнет...
Скрипт выполнил, после перезагрузки этот гад всё равно выскакивает. По клавомышиным делам ситуация такая: пока не нажмешь что-нибудь на клавиатуре - мышь работает, нажмёшь - обрубаются обе и тогда в дело пускается USBшная.
Карантин выслал, получен ли он?
Последний раз редактировалось Rene-gad; 03.03.2009 в 17:38.
Выполнить:
Сделать заново лог Гмера. Если не удалиться, то удалять черезКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\rualigoudn.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Гмер.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнен, гмер ничего не кричал (не то что в прошлый раз)
Но "недокументированная возможность" в виде исчезновения "клавомыши" по нажатии любой клавиши клавиатуры, к сожалению, осталась.
Что делать, какие логи присылать?
Сделал новые логи, посмотрите, плиз...
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
Если Вам эти IP не знакомы пофиксите
- Выполните скриптКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10 O17 - HKLM\System\CS1\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10 O17 - HKLM\System\CS3\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10 O17 - HKLM\System\CS4\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10 O17 - HKLM\System\CS5\Services\Tcpip\..\{493B4BC9-F117-44FC-AF30-51D9D58ADF1E}: NameServer = 10.0.15.114,217.21.50.10
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('synsend'); StopService('akibmkvluvmygsk'); QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\rualigoudn.sys',''); DeleteService('synsend'); DeleteService('akibmkvluvmygsk'); DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\rualigoudn.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('synsend'); BC_DeleteSvc('akibmkvluvmygsk'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
1. Программы - закрыл, антивирус выгрузить не могу - Symantec Endpoint 11.0.3001 как-то не очень хочет выгружаться... :-( Восстановление отключено как класс и давно.
2. IPшники знакомы ОЧЕНЬ ХОРОШО - наши они, посему не фиксил...
3. Скрипт выполнил, с помощью AVZ и рук очистил вышеуказанное, запустил ослика IE и сделал логи - прилагаются.
4. Карантин закачиваться не желает по причине "Данный файл уже был загружен"
5. Соответственно - всё делается на инфицированной машине только мышом, с помощью флэшки перетаскивается на другую и результаты посылаются уже оттуда...
Кстати, после перезагрузки полезли "тараканы" с разными именами и расширением *tmp...
что делать дальше?
Последний раз редактировалось BlackVic; 02.08.2010 в 21:46.
В логах ничего плохого не видно. Может кофе на клавиатуру разлился? Попробуйте ее заменить.
Менял...
Несколько клавиатур на выбор - все рабочие (по крайней мере были до подключения к этой машине).
Единственное, что вспоминается - это то, что появилась сия "радость" после первого прохода по машине AVZ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\rualigoudn.sys - Rootkit.Win32.Agent.htm( DrWEB: Trojan.NtRootKit.2632 )
Уважаемый(ая) BlackVic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.