Проблема с NT AUTHORITY /SYSTEM

[3 Kilos]

Огромное спасибо!

Вроде перестал бушевать вирус.

На счет карантина, там наверно уже все спят и сегодня ожидать ответа не стоит?

В Хайджеке нет этих строчек почему-то.

Логи сейчас сделаю.

[Самогонщик]

На счет карантина, там наверно уже все спят и сегодня ожидать ответа не стоит?

Вир.лаб круглосуточно работает могут ответить и через 10 менут, а могут и через сутки. А вобще ждите завтра днем

[3 Kilos]

Ок, будем ждать!

Лог сделал, правда когда выполнялся "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" был запущен Касперский, это сильно может повлиять на результат работы скрипта?

 

Upd. Пришел ответ от Л.К.

Здравствуйте,

 

 

digiwet.dll,

msnms9r.exe_

 

Вредоносный код в файлах не обнаружен.

 

Lyoha.exe_ - Trojan.Win32.Rabbit.ac

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 1 мая, 2009 пользователем 3 Kilos

[thyrex]

C:\DOCUME~1\8D8D~1\LOCALS~1\Temp\ktalk.sys проверьте на virustotal Ссылку на результат проверки сообщите

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[3 Kilos]

C:\DOCUME~1\8D8D~1\LOCALS~1\Temp\ktalk.sys это же этот адрес C:\Documents and Settings\Лёха\Local Settings\Temp ?

Если он - то там ktalk не нашел, поиск тоже не дал результатов.

Карантин отправил в Л.К. - ожидаю результатов.

 

Upd. Пришел ответ от Л.К.

Здравствуйте,

 

В присланном Вами файле не найдено ничего вредоносного.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 1 мая, 2009 пользователем 3 Kilos

[3 Kilos]

Так и не нашел этот файл ktalk.sys по указанному адресу и даже в поиске.

Но при проверке C:\Documents and Settings\Лёха\Local Settings Касперский обнаружили и удалил вирус: Backdoor.Win32.Agent.afzz.

Еще заметили такую вещь, что при заходе или выходе в папку в "Моем компьютере" нет звука (щелчка), раньше всегда был.

Изменено 2 мая, 2009 пользователем 3 Kilos

[SOL.]

Еще заметили такую вещь, что при заходе или выходе в папку в "Моем компьютере" нет звука (щелчка), раньше всегда был.

пуск - панель управления - звуки и аудиоустройства - вкладка "звуки" - звуковая схема, там в списке выбираешь.

[3 Kilos]

Это понятно, просто я вроде не отключал этот звук, а как вот он отключился?

 

 

thyrex, судя по логам с моего компьютера вирус Rootkit.Win32.Agent.ikz полностью уничтожен?

И каким антивирусником лучше сделать полную проверку?

[thyrex]

Выбор антивируса - дело вкуса. Ведь ни один производитель антивируса не дает 100% гарантии защиты от вирусов.

 

В каком файле был найден Backdoor.Win32.Agent.afzz?

[3 Kilos]

Backdoor.Win32.Agent.afzz Файл: C:\Documents and Settings\Лёха\Local Settings\Temp\pdfupd.exe

Касперским сегодня удалил.

Потом еще было потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\system32\smss.exe

Прям напасть какая-то.

[thyrex]

Сделайте еще раз для контроля логи AVZ

[3 Kilos]

Почему-то не могу обновить Avz, пункт "Обновление баз" выделен серым и его не выбрать. Так было с первого запуска программы.

virusinfo_syscure.zip

virusinfo_syscheck.zip

[thyrex]

Это нормально. В полиморфном AVZ, котрый Вы использовали, возможность обновления баз отсутствует.

В логах все чисто

[3 Kilos]

Хорошо!

Спасибо большое Вам за помощь, даже не знаю как бы я справился с этим один.

Значит Касперский не в силах вывести Rootkit.Win32.Agent.ikz? А вот предотвратить его проникновение сможет? Просто когда ко мне он проник - Касперский был выключен.

А через что в основном проникает этот руткит?

[thyrex]

Ни один разработчик антивирусных программ не дает 100% гарантии защиты. Вирусописатели совершенствуют свои творения быстрее, чем их обнаруживают и сигнатуры попадают в базы.

Что касается конкретно Rootkit.Win32.Agent.ikz, то детект его добавили еще в конце марта. Вывод напрашивается соответствующий...

 

Сообщение от модератора Falcon

Часть сообщений выделена в отдельную тему.