mfran75 Опубликовано 10 сентября, 2008 Опубликовано 10 сентября, 2008 Здравствуйте ! Пару дней назад, при запуске IE неожиданно появилось сообщение с заголовком "Sanitar Diska". После этого данное сообщение стало появляться регулярно, при этом стала открываться какая-то интернет-страница, где предлагается скачать и установить какую-то программу "для уничтожения компроментирующих доказательств". Конечно я ничего не устанавливал, а сразу закрывал. Скорость работы компьютера заметно упала , часто система вообще надолго зависает. Стало очевидно, что в системе (Win 2000) сидит какой-то нехороший вирус. Однако лицензионный Dr.Web ничего не находит. Я стал изучать данную тему в паутине, и нашел программу AVZ4, которая, судя по ее описанию, может помочь. И действительно, после сканирования с ее помощью, оказалось что ряд файлов и процессов инфецированы вирусом "Rootkit.Win32.Podnuha.zx". Однако программа вылечить эту заразу не смогла.. После этого я увидел этот форум, снес Dr.Web и проделал все тесты по Вашей инструкции. Файлы прилагаю. Надеюсь на Вашу помощь. С уважением, Максим virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.zip
Гриша Опубликовано 10 сентября, 2008 Опубликовано 10 сентября, 2008 Отключите антивирус! AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINNT\system32\nvco.dll',''); QuarantineFile('D:\WINNT\system32\advpac.dll',''); QuarantineFile('D:\WINNT\system32\nvnt4cp.dll',''); QuarantineFile('D:\WINNT\system32\nvwdmcp.dll',''); QuarantineFile('D:\WINNT\system32\t2embe.dll',''); QuarantineFile('D:\WINNT\system32\faxper.dll',''); QuarantineFile('D:\WINNT\system32\dmoc.dll',''); QuarantineFile('D:\WINNT\system32\msihn.dll',''); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DelBHO('{3ADBF772-613D-4C3F-984C-5389AE79549A}'); QuarantineFile('D:\WINNT\iexplorer.exe',''); QuarantineFile('D:\WINNT\system32\icmu.dll',''); DeleteFile('D:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('D:\WINNT\system32\icmu.dll'); DeleteFile('D:\WINNT\iexplorer.exe'); DeleteFile('D:\WINNT\system32\msihn.dll'); DeleteFile('D:\WINNT\system32\dmoc.dll'); DeleteFile('D:\WINNT\system32\faxper.dll'); DeleteFile('D:\WINNT\system32\t2embe.dll'); DeleteFile('D:\WINNT\system32\nvwdmcp.dll'); DeleteFile('D:\WINNT\system32\nvnt4cp.dll'); DeleteFile('D:\WINNT\system32\advpac.dll'); DeleteFile('D:\WINNT\system32\nvco.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите. Логи повторить.
mfran75 Опубликовано 11 сентября, 2008 Автор Опубликовано 11 сентября, 2008 Здравствуйте, новые файлы высылаю. Пока все работает ОК. Огромное спасибо, Максим HiJackThis.zip virusinfo_syscheck.zip virusinfo_syscure.zip
Гриша Опубликовано 11 сентября, 2008 Опубликовано 11 сентября, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINNT\system32\iashlp.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Жалобы есть?
mfran75 Опубликовано 12 сентября, 2008 Автор Опубликовано 12 сентября, 2008 Большое спасибо. Видимых проблем больше нет. На всякий случай высылаю последнии логи. С уважением, Максим hijackthis.zip virusinfo_syscheck.zip virusinfo_syscure.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти