-
Junior Member
- Вес репутации
- 54
Руткит с непонятками
Доброго вечера...
Не прошло и месяца, а я вновь вынужден просить у вас помощи. В общих чертах дело обстоит примерно так (симптомы):
- Подвисает система при открытии приложений (например - интернет-браузера, причем порой даже мышка двигается "рывками")
- Периодически перестает работать Opera (просто отказывается открывать какие бы то ни было страницы). Другие браузеры работают.
- Подозрительный процесс jqs.exe. Точнее сам то процесс, разумеется, известен, java. Но подозрительно в нем то что при его завершении происходит stop-error. Отключив авто-перезагрузку я списал с экрана тех. информацию:
*** STOP: 0x0000008E (0xC0000005, 0x8064CE4D, 0xB090EB14, 0x00000000)
- Так же stop-error появляется при выключении/перезагрузки компьютера (причем уже ближе к концу выключения, когда появляется сообщение "завершение работы Windows"). Код аналогичен с предыдущей, с одним отличием (выделил жирным):
*** STOP: 0x0000008E (0xC0000005, 0x8064CE4D, 0xAEDCEB2C, 0x00000000)
- И, наконец, вспомнив свой старый руткит, я полез в реестр и поискал там "fystem" Нашел(но пока не трогаю, т.к. не уверен можно/нужно ли это делать до удаления руткита):
HKLM/SYSTEM/ControlSet001/Services/BITS - ImagePath (%fystemRoot%\system32\svchost.exe -k netsvcs)
HKLM/SYSTEM/ControlSet001/Services/wuauserv - ImagePath (%fystemroot%\system32\svchost.exe -k netsvcs)
Не знаю насколько актуален для системы ControlSet001, но все же...
PS Моя старая тема:
http://virusinfo.info/showthread.php...E0%ED%ED%FB%E9
Тот руткит был с совершенно ясной целью - вымогательством денег.. цель моего вируса мне не совсем ясна, поэтому он и с "непонятками"
В общем надеюсь на вашу помощь (сори за "Wall of text") )
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\PIVIMM~1\WEBCEN~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\tftp.msc','');
DeleteFile('C:\WINDOWS\system32\tftp.msc');
ExecuteRepair(16);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
Почему то AVZ не смог заархивировать карантин, в списке было 4 файла, во всех полях - символы "?". В папке Quarantin есть то что нужно. Заархивировал самостоятельно с нужным именем и паролем и отправил.
Файл сохранён как 090923_132505_virus_4ab9e9715f686.zip
Размер файла 842320
MD5 5cae588c665b24b8929f717897260df8.
Лог сделал.
-
В логе чисто.
Системный файл C:\WINDOWS\System32\sfcfiles.dll пострадал. Его надо восстановить взяв из дистрибутива Windows или с другого компьютера.
-
-
Junior Member
- Вес репутации
- 54
Ну чтож.. симптомы пропали, впервые за последние 2 дня перезагрузился без STOPа.
Большое мерси за помощь =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \avz00003.dta - Trojan-Downloader.Win32.Small.anhp ( DrWEB: Trojan.DownLoad.47167, NOD32: Win32/Oficla.F trojan, AVAST4: Win32:Oficla-C [Trj] )
- \avz00004.dta - Trojan.Win32.Patched.fr ( DrWEB: Trojan.SfcPatch.7, AVAST4: Win32:Patched-KP [Trj] )
-