Показано с 1 по 12 из 12.

Машина заражена вирусом! NOD 32 ссылается на RDRIV.SYS (заявка № 4846)

  1. #1
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    Exclamation Машина заражена вирусом! NOD 32 ссылается на RDRIV.SYS

    Машина заражена вирусом! NOD 32 ссылается на RDRIV.SYS вирус идентифицирует как WIN32/ROOTKIT.I troyan
    Обшарил (образно выражаясь) всю сеть в поисках "лекарства" и забрел на ваш форум. Как я увидел, Вы сталкивались с подобной проблемой но, увы, у меня несколько иная ситуация.
    Самое обидное то что NOD32--->AMON эту вещь видит, а удалить не может, только блокирует. Я пытался вылечить систему самим НОДом в сэйфе и обычном режиме, так же использовал AVZ (все как описано в правилах). Они (сначала использовал НОД потом AVZ) находят и удаляют вирус но, увы, после перезапуска все повторяется по новой. Прикрепляю отчеты и надеюсь на Вашу помощь

    P.S. Базы на НОДе и на AVZ последние... Восстановление системы (на всех дисках) перед лечением отключал и больше не трогал
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Хотелось бы ещё лог сканирования AVZ. А то в присланном RDRIV.SYS напрочь отсутствует. Попробуйте найти его самостоятельно (лучше, наверное, в безопасном режиме) и прислать как описано в правилах.

    Ещё пришлите C:\WINDOWS\svchost32.exe - если есть.

    P.S. eHome - это что такое и какого рожна ему надо в каталоге Windows?

  4. #3
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44
    Цитата Сообщение от pig
    1. Хотелось бы ещё лог сканирования AVZ. А то в присланном RDRIV.SYS напрочь отсутствует.
    2. Ещё пришлите C:\WINDOWS\svchost32.exe - если есть.
    1. Возможно RDRIV.SYS отсутствует в логе потому, что НОДовский AMON его на время прибил. За последние 4 часа он убивал его, а тот (RDRIV.SYS) восстанавливался более 4000 раз... Но я могу его (AMON)выключить и протестить систему с "неприкасаемым" RDRIV.SYS

    2. Только один вопрос: Я могу прислать (первое) лог сканирования AVZ с не потревоженным RDRIV.SYS (второе) сам файл-RDRIV.SYS(третье) файл (у меня нет svchost32.exe но зато имеется) --- svchost.exe

    Мне прислать их на virus@virusinfo.info в архиве с паролем "virus" или вложить этот архив в следующее сообщение?
    И еще: вам нужны будут все эти файлы или их количество можно (необходимо) сократить?

    P.S. Не знаю к Вам ли с этим оращаться, но я обнаружил, что по ссылке 1. Бесплатная утилита от DrWeb - CureIT!. ~3.5 mb - качается "битый" архив.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Цитата Сообщение от alex_prog
    P.S. Не знаю к Вам ли с этим оращаться, но я обнаружил, что по ссылке 1. Бесплатная утилита от DrWeb - CureIT!. ~3.5 mb - качается "битый" архив.
    Это к компании ДрВэб. Ради проверки закачал... Действительно битый.
    Left home for a few days and look what happens...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Все запрошенные файлы присылать на virus@virusinfo.info
    svchost.exe присылать не надо, во всяком случае пока.

  7. #6
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    To PIG

    Цитата Сообщение от pig
    Все запрошенные файлы присылать на virus@virusinfo.info
    svchost.exe присылать не надо, во всяком случае пока.
    Как Вы и просили - все отправил в архиве с названием - VirusInfo.zip
    Тема письма - Файлы которые запросил PIG

    В архиве:
    Лог сканирования - hijackthis.txt
    Лог сканирования системы (+ диск С:\) - avz_log.txt
    Лог исследования системы - avz_sysinfo.html (получился со второй попытки, так как, при первом исследовании машина перезапустилась)
    Файл на который ссылается NOD32 - rdriv.sys
    Файл который запросили у меня дополнительно - svchost32.exe - его, если мне не изменяет память, Вы тоже просили прислать

    Жду и надеюсь...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    По классификации DrWeb
    rdriv.sys - Trojan.NtRootKit.61
    svchost32.exe - Win32.HLLW.MyBot

    ps. а вот второй, мало ещё кем определяется...
    http://virusinfo.info/showthread.php?p=67139#post67139

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Присланные файлы:
    rdriv.sys - инфицирован Trojan.NtRootKit.61
    c:\windows\svchost32.exe - инфицирован Win32.HLLW.MyBot
    Удалить с помощью отложенного удаления в AVZ (меню Файл).

    Удалить с помощью Диспетчера служб и драйверов в AVZ (меню Сервис) службу "Imap Burn Controls" (если останется после очистки следов удаляемых файлов в системе).

    PS. Логи надо присоеденять к сообщению на форуме (как в первом вашем сообщении).

  10. #9
    Junior Member Репутация
    Регистрация
    22.02.2006
    Сообщений
    29
    Вес репутации
    44

    To AndreyKa

    1. Удалил файлы
    2. Перезагрузился
    3. Удалил службу "Imap Burn Controls"
    4. Перезагрузился
    5. Слепил логи

    На первый взгляд - проблема исчезла...
    Неужели все было так просто?
    Просмотрите пожалуйста мои логи и если там действительно все в порядке - дайте знать

    И еще, меня беспокоит одно из сообщений которое выдает AVZ во время проверки системы - Функция ZwCreateKey (29) перехвачена (8056F063->F7740AC, перехватчик sptd.sys - это нормально? Так и должно быть?

    Заранее благодарен
    Вложения Вложения

  11. #10
    Junior Member Репутация Аватар для Dark_Blaze
    Регистрация
    17.05.2005
    Адрес
    Россия.
    Сообщений
    370
    Вес репутации
    48
    Sptd.sys-является частью Daemon tools.

    http://www.greatis.com/appdata/a/s/sptd.sys.htm
    I live to serve,and serve to live.

  12. #11
    Geser
    Guest
    C:\WINDOWS\System32\Drivers\dtscsi.sys
    C:\WINDOWS\System32\Drivers\sptd.sys

    Эти можно прислать для профилактики. А так похоже чисто.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Ещё почистить Hosts, оставив строку:
    127.0.0.1 localhost

  • Уважаемый(ая) alex_prog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 11.05.2010, 23:47
    2. Система заражена вирусом Win32.NetSky
      От Libra в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 09.12.2009, 15:18
    3. Вирус Win32/Alman.Nab заражена машина
      От jakutchenko в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 31.07.2009, 18:40
    4. Оперативная память заражена вирусом
      От zh09 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.04.2009, 18:02
    5. очередная машина заражена спайуэром
      От Sharky1984 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.07.2008, 13:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01321 seconds with 17 queries