Jump to content

Нужна помощь в охоте на нечисть


Recommended Posts

Доброго дня всем! Стала беспокоить медлительность и задумчивость компьютера, сообщения о переполнении памяти. Проделал все необходимые манипуляции по обследованию, но ничего обнаружить не удалось. В логе HijackHtis две записи 023 с потерянным файлом - не удаляются. По окончании

обследования повторил исследование hijackhtis и обнаружил появление новых строк R0 и R1 (раньше там была только одна, запуск стартовой страницы rambler). Не знаю, имеет ли это значение, был у нас эпизод инфицирования трояном F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,

Вроде бы, вылечились и долгое время ничего не беспокоило.

Прошу помощи! Посмотрите, что-то тут не так.

log.rar

log.rar

Link to comment
Share on other sites

Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы:

C:\WINDOWS\system32\drivers\Nttmsk.sysC:\WINDOWS\system32\DarkSpyKernel.sysC:\WINDOWS\system32\drivers\SFC4.sysC:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys

Результаты проверки выложите в сообщение или дайте на них ссылку.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\Nttmsk.sys','');QuarantineFile('C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\SFC4.sys','');QuarantineFile('C:\WINDOWS\system32\DarkSpyKernel.sys','');QuarantineFile('C:\WINDOWS\system32\ati2ksag.sys','');DeleteFile('C:\WINDOWS\system32\ati2ksag.sys');DeleteService('ati2ksag');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin	CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите

Рекомендую обновить Java

Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов

• Sections

• IAT/EAT

• Show all

Link to comment
Share on other sites

Добрый вечер! Огромное спасибо, Pili, за помощь!

Ни одного из указанных Вами файлов найти не смог (вообще).

C:\WINDOWS\system32\drivers\Nttmsk.sys

C:\WINDOWS\system32\DarkSpyKernel.sys

C:\WINDOWS\system32\drivers\SFC4.sys

C:\Documents and Settings\alex\Desktop\full crack\vfd\vfd.sys

Ни с помощью Far, ни AVZ.

Далее запустил первый скрипт. Скрипт был выполнен, однако перезагрузить компьютер пришлось через reset, сам он с этим не справился.

Запустил второй скрипт и отправил архив Касперскому (ответ ожидаю).

Переустановил Java

Проверил систему Gmer (до этого применял Vundofix)? вроде бы ничего не обнаружил.

Новые логи прилагаю.

virusinfo_syscheck.zip

log.log

virusinfo_syscheck.zip

log.log

Link to comment
Share on other sites

Лог gmer после нажатия на Scan? Если нет, то прочтите еще раз внимательно, как правильно сделать лог gmer

Да, лог gmer. Выполнил все, как было рекомендовано.

Кстати, пришел ответ от Касперского: ничего вредоносного не обнаружено.

:blushing:

????

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...