Уезжаю завтра в командировку, взял в конторе "разъездной" ноутбук. На нем оказались вирусы. Впервые не смог вычистить комп с помощью одного AVZ.
Операционка - WinXP SP2 русская.
AVPTool при установке выдает сообщение об ошибке в приложении и закрывается.
CureIt выполняет сканирование, выдает подозрения на
comctl32.dll:_rc_db_5.1.2600 Возможно DLOADER.Trojan
Удаление файла ни к чему не приводит, при следующем сканировании диагностика та же.
AVZ не запускается как avz.exe. Переименовал его в 123.pif, чтобы получить логи.
HijackThis.exe запустился без проблем. В логе HijackThis присутствует "нечто"
C:\DOCUME~1\admi\LOCALS~1\Temp\Rar$EX00.682\Christ mas.exe
хотя с точки зрения Far этот каталог пуст.
Буду крайне признателен за рекомендации.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачал из Интернета WinXP PE образ, сделал загрузочный диск и загрузился с него на ноутбуке.
Удалось запустить AVPTool, предварительно установленный на флешку. При сканировании диска С: был найден и удален один файл:
deleted: virus Worm.Win32.Viking.hk File: C:\Documents and Settings\All Users\Документы\mhgpec.exe
К сожалению AVZ 4.30 не заработал под WinXP PE. При попытке запустить сканирование он выдал ошибку записи в ListBox и остановился. На самом диске с WinXP PE есть AVZ 4.23. Он работает, но у него устаревшие базы.
Я удалил с ноутбука все данные и деинсталировал практически все программы, чтобы уменьшить время сканирования.
Прилагаю последние логи.
С виду ситуация не изменилась. Есть ли шансы вылечить заразу?
Мне надо принимать решение о том, чтобы искать другой ноутбук.
Под Windows PE запустите тот AVZ 4.23 и выполните такой скрипт:
Код:
begin
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\dllcache\comctl32.dll:_rc_db_5.1.2600:$DATA');
DeleteFile('C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600');
end.
Потом перезагрузитесь в свою систему и повторите лог по п.1 Диагностики
(стандартный скрипт #3).
Добавлено через 1 минуту
Пришлите по правилам файл C:\WINDOWS\System32\drivers\btserial2.sys.
Последний раз редактировалось Bratez; 05.07.2009 в 08:06.
Причина: Добавлено
я скопировал под WinPE все содержимое диска С на флешку. Теперь могу ковыряться в нем на своем домашнем компе.
Подцепил hives к своему реестру. Посмотрел ключ
HKEY_USERS\s111\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit=C:\WINDOWS\SYSTEM32\Userinit.exe,
В ключах
В HKEY_USERS\s111\Microsoft\Windows\CurrentVersion\R un
тоже ничего подозрительного.
btserial2.sys в реестре не нашлось, что логично. Такого файла на диске нет. Видимо ROOTKIT динамически его как-то подсовывает.
Как же эта дрянь может запускаться?
Сейчас проверю содержимое диска С на своем компе с помощью AVPTool и AVZ с последними обновлениями.
Добавлено через 57 минут
Проверил скопированные данные с диска С ноутбука.
AVPTool и AVZ показали 0 подозрений.
На ноутбуке все без изменений.
И при обычной загрузке и в SafeMode:
- AVPTool не устанавливается, выдает ошибку приложения в конце инсталляции
- avz.exe запускается только переименованным
- gmer.exe запускается только переименованным. В конце скана выдает сообщение о налиичии ROOTKIT.
Времени не осталось. Принято решение переставлять Винду.
Спасибо всем принявшим участие.
Дней через 15 вернусь, проверю сохраненный диск С обновленными версиями антивирусов. Если найду что-нибудь интересное - отпишусь.
Еще раз спасибо за помощь.
Последний раз редактировалось golovin; 05.07.2009 в 13:53.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
DLOADER.Trojan
