-
Junior Member
- Вес репутации
- 57
Вирус, видоизменяет Hosts
Здравствуйте. На компьютере вирус, который меняет файл host. Лечу его лечу, все никак не изводится. Сейчас с зараженного компа не могу зайти на virusinfo.info, к примеру, приходится писать с другого.
Провел все необходимые процедуры, прикладываю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте, Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\services.exe,\\?\globalroot\systemroot\system32\sidkcbt.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\sidkcbt.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
DeleteFile('\\?\globalroot\systemroot\system32\sidkcbt.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
-
-
-
Junior Member
- Вес репутации
- 57
Пока, вроде, все нормально. Касперский обновляется, что не делал, на вирусинфо.инфо зайти смог, что раньше тоже не получалось.
Но файла hosts, в windows/system32/drivers/etc не видно и открыть его тоже никак не могу, как было и раньше. Создал новый руками.
Добавлено через 6 минут
Так а в логах что пишут?
Последний раз редактировалось mazum; 19.02.2010 в 13:12.
Причина: Добавлено
-
Не видно ничего подозрительного.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 57
Вроде все нормально, невооруженным глазом ничего не видно. Но вот взял и проверил Касперским, что и как. Получил вот такое -
Код:
Автоматическая проверка: завершено 7 минут назад (событий: 38, объектов: 161441, время: 01:04:13)
23.02.2010 19:27:17 Задача запущена
23.02.2010 20:04:47 Обнаружено: Trojan-Dropper.Win32.Agent.bmcj C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe
23.02.2010 20:04:47 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe
23.02.2010 20:04:47 Обнаружено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe
23.02.2010 20:04:47 Не вылечено: Trojan-Dropper.Win32.Agent.bmcj C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe Отложено
23.02.2010 20:04:47 Не вылечено: Trojan-Dropper.Win32.Agent.bmvs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe Отложено
23.02.2010 20:04:47 Не вылечено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe Отложено
23.02.2010 20:04:48 Обнаружено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe
23.02.2010 20:04:48 Не вылечено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe Отложено
23.02.2010 20:04:48 Обнаружено: Trojan-Dropper.Win32.Agent.bmzd C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe
23.02.2010 20:04:48 Не вылечено: Trojan-Dropper.Win32.Agent.bmzd C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe Отложено
23.02.2010 20:04:48 Обнаружено: Backdoor.Win32.Bredavi.bzs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe
23.02.2010 20:04:48 Не вылечено: Backdoor.Win32.Bredavi.bzs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe Отложено
23.02.2010 20:16:15 Обнаружено: Backdoor.Win32.Bredavi.bvt C:\WINDOWS\system32\gK0ElvT.exe
23.02.2010 20:16:16 Не вылечено: Backdoor.Win32.Bredavi.bvt C:\WINDOWS\system32\gK0ElvT.exe Отложено
23.02.2010 20:17:06 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\nUlQkWc.exe
23.02.2010 20:17:06 Не вылечено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\nUlQkWc.exe Отложено
23.02.2010 20:17:07 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\okdzPRn.exe
23.02.2010 20:17:07 Не вылечено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\okdzPRn.exe Отложено
23.02.2010 20:31:12 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe
23.02.2010 20:31:20 Удалено: Trojan-Dropper.Win32.Agent.bmvs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000474.exe
23.02.2010 20:31:20 Обнаружено: Trojan-Dropper.Win32.Agent.bmcj C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe
23.02.2010 20:31:21 Удалено: Trojan-Dropper.Win32.Agent.bmcj C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000475.exe
23.02.2010 20:31:21 Обнаружено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe
23.02.2010 20:31:24 Удалено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000476.exe
23.02.2010 20:31:24 Обнаружено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe
23.02.2010 20:31:25 Удалено: Backdoor.Win32.Bredavi.bzk C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000477.exe
23.02.2010 20:31:26 Обнаружено: Trojan-Dropper.Win32.Agent.bmzd C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe
23.02.2010 20:31:27 Удалено: Trojan-Dropper.Win32.Agent.bmzd C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000478.exe
23.02.2010 20:31:27 Обнаружено: Backdoor.Win32.Bredavi.bzs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe
23.02.2010 20:31:28 Удалено: Backdoor.Win32.Bredavi.bzs C:\System Volume Information\_restore{DFC880A4-E57F-4203-81F5-D447EA896097}\RP2\A0000479.exe
23.02.2010 20:31:28 Обнаружено: Backdoor.Win32.Bredavi.bvt C:\WINDOWS\system32\gK0ElvT.exe
23.02.2010 20:31:29 Удалено: Backdoor.Win32.Bredavi.bvt C:\WINDOWS\system32\gK0ElvT.exe
23.02.2010 20:31:29 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\nUlQkWc.exe
23.02.2010 20:31:30 Удалено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\nUlQkWc.exe
23.02.2010 20:31:30 Обнаружено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\okdzPRn.exe
23.02.2010 20:31:31 Удалено: Trojan-Dropper.Win32.Agent.bmvs C:\WINDOWS\system32\okdzPRn.exe
23.02.2010 20:31:31 Задача завершена
Обновил базы AVZ, запустил скрипты, выкладываю логи. Есть что-нибудь?
-
-
-
Junior Member
- Вес репутации
- 57
Спасибо. Теперь буду стараться поддерживать в чистоте.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-