kilo Опубликовано 9 июля, 2009 Опубликовано 9 июля, 2009 Вродебы на компе проблем как таковых нет но gmer показывает подозрение на руткит. log.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
SergeyUser Опубликовано 9 июля, 2009 Опубликовано 9 июля, 2009 (изменено) kilo, Подозрительным выглядит наличие перехватов одним и тем же драйвером системных функций работы с файлами и реестром одновременно, предположительно это механизм сокрытия следов присутствия в системе: spjz.sys. Я бы рекомендовал сделать диск аварийного восстановления KIS с последними обновлениями, загрузиться с него и просканировать всю систему. Это даст самый чистый результат. До этого в качестве простого теста загрузите указанный выше файл (если он будет вам вообще виден; если нет - то это практически уже гарантия заражения) на VirusTotal.com для проверки. Изменено 9 июля, 2009 пользователем SergeyUser
Falcon Опубликовано 9 июля, 2009 Опубликовано 9 июля, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe: gmer.exe -del service sdugfhh gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\sdugfhh" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sdugfhh" gmer -reboot И запустите cleanup.bat. Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\innounp.exe',''); QuarantineFile('C:\WINDOWS\system32\dllhost.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0437502785-6290436575-046831297-2293\sysdate.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\wimfltr.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\57515182.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\57515182.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-0437502785-6290436575-046831297-2293\sysdate.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Сделайте новый комплект логов.
kilo Опубликовано 9 июля, 2009 Автор Опубликовано 9 июля, 2009 Все выполнил. Логи заслал, жду ответа. Gmer больше не находит руткита. Залил новые логи virusinfo_syscheck.zip virusinfo_syscure.zip log2.log hijackthis2.log
Falcon Опубликовано 9 июля, 2009 Опубликовано 9 июля, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\autorun.inf'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. И сделайте новые логи AVZ. По гмеру все в норме.
kilo Опубликовано 10 июля, 2009 Автор Опубликовано 10 июля, 2009 Пришол ответ из вирлаба Здравствуйте, autorun.inf, IDMan.exe.BAK1, innounp.exe_, wimfltr.sys Вредоносный код в файлах не обнаружен. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. Залил новые логи AVZ virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis3.log
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти