kilo Опубликовано 9 июля, 2009 Поделиться Опубликовано 9 июля, 2009 Вродебы на компе проблем как таковых нет но gmer показывает подозрение на руткит. log.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
SergeyUser Опубликовано 9 июля, 2009 Поделиться Опубликовано 9 июля, 2009 (изменено) kilo, Подозрительным выглядит наличие перехватов одним и тем же драйвером системных функций работы с файлами и реестром одновременно, предположительно это механизм сокрытия следов присутствия в системе: spjz.sys. Я бы рекомендовал сделать диск аварийного восстановления KIS с последними обновлениями, загрузиться с него и просканировать всю систему. Это даст самый чистый результат. До этого в качестве простого теста загрузите указанный выше файл (если он будет вам вообще виден; если нет - то это практически уже гарантия заражения) на VirusTotal.com для проверки. Изменено 9 июля, 2009 пользователем SergeyUser Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 9 июля, 2009 Поделиться Опубликовано 9 июля, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe: gmer.exe -del service sdugfhh gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\sdugfhh" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\sdugfhh" gmer -reboot И запустите cleanup.bat. Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\innounp.exe',''); QuarantineFile('C:\WINDOWS\system32\dllhost.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0437502785-6290436575-046831297-2293\sysdate.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\wimfltr.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\57515182.sys',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\57515182.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-0437502785-6290436575-046831297-2293\sysdate.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Сделайте новый комплект логов. Ссылка на комментарий Поделиться на другие сайты Поделиться
kilo Опубликовано 9 июля, 2009 Автор Поделиться Опубликовано 9 июля, 2009 Все выполнил. Логи заслал, жду ответа. Gmer больше не находит руткита. Залил новые логи virusinfo_syscheck.zip virusinfo_syscure.zip log2.log hijackthis2.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 9 июля, 2009 Поделиться Опубликовано 9 июля, 2009 Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\autorun.inf'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. И сделайте новые логи AVZ. По гмеру все в норме. Ссылка на комментарий Поделиться на другие сайты Поделиться
kilo Опубликовано 10 июля, 2009 Автор Поделиться Опубликовано 10 июля, 2009 Пришол ответ из вирлаба Здравствуйте, autorun.inf, IDMan.exe.BAK1, innounp.exe_, wimfltr.sys Вредоносный код в файлах не обнаружен. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. Залил новые логи AVZ virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis3.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 10 июля, 2009 Поделиться Опубликовано 10 июля, 2009 kilo, больше ничего плохого не вижу. Ссылка на комментарий Поделиться на другие сайты Поделиться
kilo Опубликовано 10 июля, 2009 Автор Поделиться Опубликовано 10 июля, 2009 Спасибо вам за помощь Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти