-
Junior Member
- Вес репутации
- 51
monoca32
Опять видимо заразился
Вылечился вроде сам, посмотрите на всякий случай
Огромное спасибо
Подскажите какую заплатку установить? что бы больше он не появлялся, в инете лазаю через Оперу, стоит последний NOD32
Еще в логах AVZ написало
!!! Внимание !!! Восстановлено 23 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Подскажите .. раньше такого не было
Последний раз редактировалось Legaron; 15.09.2010 в 16:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\knlzve.exe','');
QuarantineFile('C:\WINDOWS\system32\7ce59ac8.exe','');
QuarantineFile('C:\WINDOWS\system32\37b857d0.exe','');
DeleteFile('C:\WINDOWS\system32\37b857d0.exe');
DeleteFile('C:\WINDOWS\system32\7ce59ac8.exe');
DeleteFile('C:\WINDOWS\system32\knlzve.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
+ Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
беспокоят строчки в AVZ
Функция NtAssignProcessToJobObject (13) перехвачена (805D65E2->B01B5610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (806237C8->B7EB50E0), перехватчик spqm.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
и тд ...
>> Маскировка драйвера: Base=ADD12000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
это насколько понял глюк?
Карантина с 3 файлами не будет, я их удалил вручную, по скоко не запускался AVZ, просто уже болел этим вирусом
а вот новые симптомы пугают
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\edef8c50.exe','');
DeleteFileMask('C:\Program Files\Common Files\3871b132', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\3871b132');
DeleteFileMask('C:\Program Files\Common Files\wm', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\wm');
DeleteFile('C:\Documents and Settings\Anton\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\edef8c50.exe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Anton^Главное меню^Программы^Автозагрузка^wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 100915_180332_quarantine_4c90d234d571b.zip
Размер файла 596
MD5 33a1c63da7c80b6963eada5e1aec3721
некоторые файлы было написано удаляться, после перезагрузки, выполнял скрипт в безопасном режиме
-
Junior Member
- Вес репутации
- 51
М?
Почитал про файлы SP*** это вроде как куски ДаймонТулс
а второй файл непонятен, после перезагрузки и повторного сканирования опять вылазит
!!! Внимание !!! Восстановлено 23 функций KiST в ходе работы антируткита
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-