Скачал свежий AVPTool.
В режиме safe mode запустить его не смог - об этом я писал в своем первом посте.
Причина: во время загрузки драйверов в safe mode последней строкой появляется надпись "Press Esc to escape loading SPTD.SYS" и после этого комп перегружается.
Пришлось производить скан в нормальном режиме.
Ни 3922e5d4.sys, ни setupapi.dll в папках Opera и Firefox НЕ БЫЛИ ОБНАРУЖЕНЫ AVPTool!
Производил скан дважды, второй раз - с максимальными параметрами эвристики, расширенным поиском руткитов и пр. наворотами.
Сканы AVZ и HijackThis произошли штатно. Логи приложены.
Более того, при внимательном изучении логов winpatrol я обнаружил в списке скрытых файлов некий файл C:\WINDOWS\system32\hssklgl.dll, который первый раз был задетектен этой софтиной в момент заражения компа.
Ранее я этот файл проигнорил, потому что думал, что он виндовый + у него дата 17.03.09, а не 05.04.09, когда у меня комп заразился.
Файл скрытый, не удаляется (IceSword даже с места не смог его сдвинут, в отличие от 3922e5d4.sys, который удалялся, но тут же восстанавливался), не копируется с помощью IceSword.
Кстати, упоминание этого файла должно быть в логах AVZ.
Я так думаю, что этот файл тоже ваш клиент.
Помогите доставить его вам для разбора.
Или на крайний случай снести с компа.
Если что, я могу в личку бросить свой мобильный.
По тф можно оперативнее поработать с вами на предмет изучения этой гадюки.
Я уже 3-и сутки не могу работать из-за виря, т.к. захожу в сеть набегами - напишу здесь сообщение и уйду, иначе вирь начинает спамить.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
http://www.z-oleg.com/secur/avz_doc/...namemacros.htm
В справке AVZ написано, что %SystemRoot% используется для указания пути к System/System32. Если это так, то %systemroot%\system32 - должно замениться на путь к system32\system32, поэтому я на всякий случай поставил %system32%.
Запустите IceSword, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\drivers\3922e5d4.sys и удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Файл C:\WINDOWS\System32\drivers\3922e5d4.sys отсутствует, поэтому удалять было нечего.
Скрипт завершился алертом "Invalid data type for ''".
Комп пришлось перегружать вручную.
При шатдауне подвисли explorer.exe и "Connections Tray".
После завершения этих процессов вручную окна не продолжили шатдаун.
Пришлось ресетить.
Карантин выслал.
Логи сделал.
Gmer-лог сделал, однако не стал согласно правилам сканировать компьютер полностью, потому что только один диск Цэ Gmer сканил 2 часа!
Весь комп я бы сканил до утра - у меня такой возможности нет.
Лог Gmer прилагаю.
Там справа будет параметр ImagePath, у него в значении будет такое %fystemRoot%\system32\svchost.exe. Вам нужно заменить всего одну букву - f на букву S в начале (изменить значение параметра).
и проделайте с параметром ImagePath там то же самое действие.
Закройте редактор.
Потом выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\3922e5d4.sys');
DeleteService('3922e5d4');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('3922e5d4');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'avzlog.txt');
RebootWindows(true);
end.
Пришлите новый карантин.
Сделайте новые логи и прикрепите еще лог avzlog.txt из папки AVZ.
Последний раз редактировалось kps; 08.04.2009 в 19:55.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от skywriter
