Сабж, собственно. Сразу при заходе в инет комп начинает ломиться на yahoo.com, google.com, gmail.com, microsoft.com, icq.com и еще много куда. Аську пытался стянуть. Траффик создает нереальный (несколько Мб/мин). Все перерыл. Незнаю в чем проблема. DrWeb, KAV, Avast - молчат как рыбы об лед.
Выручайте!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сабж, собственно. Сразу при заходе в инет комп начинает ломиться на yahoo.com, google.com, gmail.com, microsoft.com, icq.com и еще много куда. Аську пытался стянуть. Траффик создает нереальный (несколько Мб/мин). Все перерыл. Незнаю в чем проблема. DrWeb, KAV, Avast - молчат как рыбы об лед.
Выручайте!
У вас на компьютере опасный бот с руткитом. Рецепт:
1. Выполните инструкцию http://www.z-oleg.com/secur/virlist/vir1179.php
2. Пришлите согласно правилам C:\Program Files\MP3 Player Utilities 3.06\RDiskUpdate\DelDrv.exe для изучения
3. Повторите логи для контроля
Продолжаю биться. Кое что понаходил, но не помогает. Выполнял инструкчию - у меня такого файла нет, и вообще у меня на системном диске FAT32.
Файл, что вы просили - это удолялка драйверов для Mp3 плэера. Ей сто лет уже.
PS. Очень жду помощи. Траффик платный. Только за вчерашние эксперименты 150 Мб ушло.
PS. В карантине ничего нового не появилось.
PSS. Я далеко не чайник.
Судя по логам инструкция по указанной ссылке выполнена не была. Тогда дублирую ее по шагам:
1. Перезагрузиться
2. Запустить AVZ, не отмечая диски пролечить ПК с включенным противодействияем руткитам (в логе появится отметка о нейтрализации перехвата SYSENTER и о обнаружении маскировки lzx32.sys)
3. Включить AVZ Guard
4. Сервис/Поиск данныx в реестре. Образец поиска - lzx32.sys. Найденные ключи следует удалить.
5. Файл/отложенное удаление. Удалить файл C:\WINDOWS\system32\lzx32.sys (этот файл не виден на диске, поэтому нужно просто скоипровать отсюда или из лога его полное имя в поле "Файл" диалога отложенного удаления).
6. Перезагрузиться, не отключая AVZ Guard
7. Повторить логи. Если все сделано верно, то перехват SYSENTER пропадет и посторонний трафик исчезнет
Перечисленное можно сделать при помощи скрипта AVZ (правда поиск в реестре по образцу lzx32.sys лучше):
По идее если спайдеру поменять настройки с оптимальных на "Запуск и открытие" + "Создание и запись" он его и без посторонней помощи придушит во время загрузки винды..
Сделал все, как вы сказали. Спайдер молчал как партизан Только после удаления ключей реестра траффик прекратился и исчез перехват SYSENTER. Но файл lzx32.sys так и не был обнаружен. Делал отложенное удаление с помещением в карантин, но в карантине ПУСТО! Повторюсь, у меня на лиске C: файловая система FAT32. Вы не считаете это подозрительным?
Последний раз редактировалось Sot; 02.12.2006 в 16:47.
А сигнатуру какую нибудь с этого файла пришлите, я по диску поищу.
Стабильных сигнатур у этой штуки нет - известны десятки модификаций. Но все характерны установкой драйвера, который маскирует ключи в реестре и файлы на диске (файлы маскируются при помощи фильтра файловой системы).
Нет, все вместе в архиве 180Кб. Куда прислать? В форум я думаю не стоит.
8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Уважаемый(ая) Sot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: