Показано с 1 по 6 из 6.

вирус (заявка № 49471)

  1. #1
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    3
    Вес репутации
    32

    Cool вирус

    Обращаюсь к вам за помощью, какой-то тяжелый случай.

    Симптомы:

    1. Не запускается ни один из антивирусов, avz, hjack сообщения об ошибках не выдаются. Удается запустить только переименованные.

    2. В netstat при загруженной системе повышенная активность связи с смтп серверами, предполагается рассылка спама.

    3. Cure it обнаружил и удалил следующие тела вирусов: Trojan.Download.29459
    Trojan.Botnetlog.3
    BackDoor.IRC.Nite.18
    Trojan.Proxy.3363
    Trojan.Botnetlog.1
    Dialer.Btweb
    Trojan.KillDisk.303
    Trojan.Download.33838

    После этого сетевая активность по рассылке спама продолжается антивирусы не запускаются.

    Mcafee rootkit detective, обнаруживает один файл с русским именем .doc - при попытке сделать "rename" - система перестает грузится - BSOD, и грузится только last known configuration.

    Заранее благодарен за помощь,
    Игорь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    F2 - REG:system.ini: Shell=c:\windows\explorer.exe
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    O20 - Winlogon Notify: crypt- - crypts.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
    BC_ImportALL;
     BC_DeleteSvc('fd17');
     BC_DeleteSvc('f7aA');
     BC_DeleteSvc('9ed6');
     BC_DeleteSvc('80bB');
     BC_DeleteSvc('15c5');
     BC_DeleteSvc('0429');
    BC_Activate;
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49471).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    3
    Вес репутации
    32
    Карантин отправлен:
    Файл сохранён как 090707_152510_virus_4a53309680d9c.zip

    Вот новые логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    NDIS.sys - Virus.Win32.Protector.a
    Обновляйте Касперского, он должен это вылечить.

    В остальном порядок.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.07.2009
    Сообщений
    3
    Вес репутации
    32
    Касперский запустился, но не может активировать сетевой экран.

    Базы обновил, но он все равно не находит в ndis.sys вируса. Cureit тоже. И avp removal тоже.

    Может быть поможет winsockfix? Его безопасно использовать на xp sp3?

    Да, рассылка спама продолжается...

    Добавлено через 3 часа 15 минут

    Вирус побежден перезаписью ndis.sys, загрузившись с live cd.

    Winsockfix, ndis repair не помогают.

    Спасибо!
    Последний раз редактировалось thalion; 07.07.2009 в 19:12. Причина: Добавлено

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.a ( DrWEB: Trojan.NtRootKit.2670, BitDefender: Trojan.Kobcka.HN )


  • Уважаемый(ая) thalion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00284 seconds with 16 queries