evgen Опубликовано 30 марта, 2009 Share Опубликовано 30 марта, 2009 Около недели назад началась такая штука. Примерно через 5 минут после загрузки оси какая-то "живность" на ПК начинает жрать инет (выделенка). Каспер ничего не находил. Попробывал KidoKiller2 - пусто. Поменял Win XP SP3 на WIN XP SP2. После этого Каспер нашел Worm.Win32.Autorun.ezt в файле C:\Windows\System32\Drivers\Sysdry32.sys. Касперский удалить не может. Попробывал убить Gmer'ом - убил. Тут Касперский и начал материться. Итого в 14 файлах 3 разновидности виросов:1) Worm.Win32.Autorun.ezt; 2)Trojan-Dropper.Win32.Agent.albv; 3) Trojan.Win32.Buzus.asgc. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 30 марта, 2009 Share Опубликовано 30 марта, 2009 (изменено) Скачайте IceSword. - Запустите программу. - Внизу слева выберите меню File. - Появится аналог проводника. Найдите в нем файлы: C:\WINDOWS\system32\Drivers\ujezmjy2.sys C:\WINDOWS\system32\drivers\sysdrv32.sys Нажмите на них правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\73.exe'); TerminateProcessByName('c:\windows\system\svhost.exe'); QuarantineFile('C:\WINDOWS\system32\sysmgr.exe',''); QuarantineFile('C:\WINDOWS\system\svhost.exe',''); DeleteService('sysdrv32'); QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ujezmjy2.sys',''); QuarantineFile('c:\flylinkdc++\flylinkdc.exe',''); QuarantineFile('c:\docume~1\9335~1\locals~1\temp\73.exe',''); DeleteFile('c:\docume~1\9335~1\locals~1\temp\73.exe'); DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\ujezmjy2.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\ujezmjy2.sys'); DeleteFile('C:\WINDOWS\system\svhost.exe'); DeleteFile('C:\WINDOWS\system32\sysmgr.exe'); BC_ImportAll; BC_DeleteSvc('sysdrv32'); BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Карантин в папке с AVZ отправьте на newvirus@kaspersky.com. Обновите базы AVZ и сделайте новые логи. Изменено 30 марта, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
evgen Опубликовано 30 марта, 2009 Автор Share Опубликовано 30 марта, 2009 Новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 30 марта, 2009 Share Опубликовано 30 марта, 2009 Проблемы наблюдаются? Ссылка на комментарий Поделиться на другие сайты More sharing options...
evgen Опубликовано 30 марта, 2009 Автор Share Опубликовано 30 марта, 2009 Пока нет. Появятся напишу. От души. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти