-
Junior Member
- Вес репутации
- 52
Лечил, лечил. Недолечил.
Друзья, помогите.
Подхватил какую-то заразу. CureIt не помогает,
что мог вычистил вручную, но не все.
Под подозрением:
1. Драйвера:
C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
2.Службы:
Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Да, еще когда Outlook запускаешь он тоже попадает под подозрение,
по порту 1113 как Backdoor.Lurker
Убивал файло:
DeleteFile(C:\WINDOWS\system32\MsSip2.dll');
DeleteFile('C:\WINDOWS\system32\MsSip3.dll');
DeleteFile('C:\WINDOWS\system32\MsSip1.dll');
DeleteFile('C:\WINDOWS\PixArt\PAC207\Monitor.exe') ;
DeleteFile('C:\WINDOWS\system32\424ad30a.exe');
DeleteFile('C:\WINDOWS\system32\d6cf35bf.exe');
DeleteFile('C:\WINDOWS\system32\L9YmQmb.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_a tapi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_W MILIB.SYS','');
QuarantineFile('C:\DOCUME~1\7494~1\LOCALS~1\Temp\E 7R8yrbQ.sys','');
Но темпы не почистил, и буквально через пару перезагрузок зловред вылез обратно. Прошу помощи. И если можно, что за зараза по какой-нибудь общепринятой квалификации. Хочу почитать о ней.
Последний раз редактировалось EvilRabbit; 02.04.2010 в 14:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
Ждать? Или заявку нужно только через http://virusinfo.info/911test подавать?
-
Не ждать, руки свои не прилагать к написанию скриптов.
Сделать логи по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось EvilRabbit; 02.04.2010 в 14:46.
-
Да, так.
Добавлено через 3 минуты
Сообщение от
EvilRabbit
DeleteFile('C:\WINDOWS\system32\424ad30a.exe');
DeleteFile('C:\WINDOWS\system32\d6cf35bf.exe');
DeleteFile('C:\WINDOWS\system32\L9YmQmb.exe');
Зверье, больше не вылезло. В логах плохого не увидел.
По-точнее расскажите о проблемах.
Последний раз редактировалось PavelA; 12.03.2010 в 19:58.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
GMER запускается, при поиске руткитов под самый конец вываливается в перезагрузку без синиго экрана и дампа.
Думаете долечил?
Смущает в AVZ (обычном и полиморфном) не запускается диспечер служб и драйверов.
Добавлено через 9 минут
Думаете вылечил?
Смущает что сейчас ни в обфчно ни в полиморфном AVZ ни открывается диспечер служб и драйверов.
GMER при поиске руткитов сначала долго ищет, а потом перегружает комп без синего экрана и дампа.
Добавлено через 7 минут
+ в модулях пространства ядра в AVZ видно
C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
при просмотре любым файловым менеджером их не видно.
Последний раз редактировалось EvilRabbit; 12.03.2010 в 20:30.
Причина: Добавлено
-
Сообщение от
EvilRabbit
Смущает в AVZ (обычном и полиморфном) не запускается диспечер служб и драйверов.
AVZ - файл - восст.системы -- п.11,17 отметить и выполнить.
Сообщение от
EvilRabbit
+ в модулях пространства ядра в AVZ видно
C:\WINDOWS\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Их нет. Это ссылки на дампы при аварийном завершении программ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Спасибо!
Вроде все нормально.
Несколько дней понаблюдаю.
