Перейти к содержанию
Правила раздела

Rootkit.Win32.Podnuha.zx

mfran75

Автор mfran75,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

mfran75

mfran75 0

Опубликовано
Опубликовано

Здравствуйте !

 

Пару дней назад, при запуске IE неожиданно

появилось сообщение с заголовком "Sanitar Diska".

 

После этого данное сообщение стало появляться

регулярно, при этом стала открываться какая-то

интернет-страница, где предлагается скачать

и установить какую-то программу

"для уничтожения компроментирующих доказательств".

Конечно я ничего не устанавливал, а сразу закрывал.

 

Скорость работы компьютера заметно упала :( ,

часто система вообще надолго зависает.

Стало очевидно, что в системе (Win 2000) сидит

какой-то нехороший вирус.

 

Однако лицензионный Dr.Web ничего не находит.

 

Я стал изучать данную тему в паутине, и нашел

программу AVZ4, которая, судя по ее описанию,

может помочь. И действительно, после сканирования

с ее помощью, оказалось что ряд файлов и процессов

инфецированы вирусом "Rootkit.Win32.Podnuha.zx".

 

Однако программа вылечить эту заразу

не смогла..

 

После этого я увидел этот форум, снес Dr.Web

и проделал все тесты по Вашей инструкции.

 

Файлы прилагаю.

 

Надеюсь на Вашу помощь.

 

С уважением,

Максим

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Ссылка на сообщение
Поделиться на другие сайты
Гриша

Гриша 14

Опубликовано
Опубликовано

Отключите антивирус!

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINNT\system32\nvco.dll','');
QuarantineFile('D:\WINNT\system32\advpac.dll','');
QuarantineFile('D:\WINNT\system32\nvnt4cp.dll','');
QuarantineFile('D:\WINNT\system32\nvwdmcp.dll','');
QuarantineFile('D:\WINNT\system32\t2embe.dll','');
QuarantineFile('D:\WINNT\system32\faxper.dll','');
QuarantineFile('D:\WINNT\system32\dmoc.dll','');
QuarantineFile('D:\WINNT\system32\msihn.dll','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{3ADBF772-613D-4C3F-984C-5389AE79549A}');
QuarantineFile('D:\WINNT\iexplorer.exe','');
QuarantineFile('D:\WINNT\system32\icmu.dll','');
DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('D:\WINNT\system32\icmu.dll');
DeleteFile('D:\WINNT\iexplorer.exe');
DeleteFile('D:\WINNT\system32\msihn.dll');
DeleteFile('D:\WINNT\system32\dmoc.dll');
DeleteFile('D:\WINNT\system32\faxper.dll');
DeleteFile('D:\WINNT\system32\t2embe.dll');
DeleteFile('D:\WINNT\system32\nvwdmcp.dll');
DeleteFile('D:\WINNT\system32\nvnt4cp.dll');
DeleteFile('D:\WINNT\system32\advpac.dll');
DeleteFile('D:\WINNT\system32\nvco.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

Ссылка на сообщение
Поделиться на другие сайты
Гриша

Гриша 14

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINNT\system32\iashlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Жалобы есть?

Ссылка на сообщение
Поделиться на другие сайты
mfran75

mfran75 0

Опубликовано
  • Автор
Опубликовано

Большое спасибо.

 

Видимых проблем больше нет.

 

На всякий случай высылаю последнии логи.

 

С уважением,

Максим

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...