Takeprofiter Posted June 18, 2009 Report Share Posted June 18, 2009 Здравствуйте уважаемые! Недавно поставил винду на комп и решил не заморачиватся с установкой антивирусов, фаерволов.... вобщем какой либо защиты.. наивно полагая что раз уж я по порносайтам не лажу, левых ссылок не открываю, то никакой угрозы нет (( Когда комп стал жутко тормозить то почувствовал неладное и установил свой любимый фаервол Outpost.. когда заглянул в сетевую активность то ужаснулся - там было много исходящих соединений от имени процесса SVHOST на неизвестные серверы, причем когда я отключал кабель интернета, то попытки этих соединений настойчиво продолжались(( так началось мое знакомство со словом rootkit... которое показал мне Outpost при сканировании, заражен был какой то файл в папке Drivers, который был перемещен в карантин и удален... как вы наверно догадались после перезагрузки этот файл появился снова... погуглив немного прочитал кучу инфы о том что такое rootkit и испробовал кучу утилит аля antirootkit от разных фирм и авторов... но все они оказались бесполезными в решении проблемы... помимо повышенной сетевой активности,перестали работать некоторые программы которые до этого нормально функционировали, но теперь при запуске сразу закрываются с ошибкой и даже переустановка не помогает... :) еще нашел в процессах странную вещь с названием reader_s.exe .. которая упорно прописывается в автозагрузку сколько ее оттуда не удаляй и всегда висит в процессах сколько ее не завершай :) все шаги описанные в инструкции вроде бы выполнил верно... д-р Веб нашел кучу троянов и типа их удалил, потом AVZ нашел всю ту же кучу и то же типа их удалил... кстати пробовал решить проблему при помощи AVZ еще до обращения на ваш сайт... логи от первого, второго и т.д. сканирований были одинаковыми - обнаружена куча перехватчиков, некоторые нейтрализованы но есть и пугающие надписи типа "неопознанный перехватчик"... это значит что их не убить??? :) пока писал сообщение еще и умер Outpost Fierwall которым я пытался хоть как то сдерживать наступление :) :) :) и чувствую скоро провайдер забанит мне порт за вирусную активность.... помогите пожалуйста,все логи вроде прикрепил :) info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
ТроПа Posted June 18, 2009 Report Share Posted June 18, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteService('protect');QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');QuarantineFile('C:\WINDOWS\system32\ea82.sys','');DeleteService('44b7F');QuarantineFile('C:\WINDOWS\system32\44b7F.sys','');DeleteService('ethzkjqr');QuarantineFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys','');DeleteFile('C:\WINDOWS\system32\drivers\ethzkjqr.sys');DeleteFile('C:\WINDOWS\system32\44b7F.sys');DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему. В АВЗ включите AVZPM и повторите логи. Link to comment Share on other sites More sharing options...
Takeprofiter Posted June 18, 2009 Author Report Share Posted June 18, 2009 выслал письмо с файлом, включил AVZPM и сделал логи так же как в прошлый раз.... судя по ним у меня все без изменений :) reader_s кажется исчез из процессов, но в автозагрузке этих reader_s.exe уже аж целых три :) virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
Takeprofiter Posted June 18, 2009 Author Report Share Posted June 18, 2009 на всякий случай сделал еще раз и эти логи info.txt log.txt info.txt log.txt Link to comment Share on other sites More sharing options...
Takeprofiter Posted June 18, 2009 Author Report Share Posted June 18, 2009 про reader_s оказывается погорячился ... появился снова и в автозагрузке и в процессах... фаервол убит но судя по кол-ву отправляемых пакетов я сейчас жестоко спамлю множество серверов :) не хочу быть спамером :) интернет работает так как будто у меня не 5мб.с а диалап какой то... странно что провайдер еще не среагировал и меня не забанил.... многие программы не хотят работать.... вобщем умирает мой комп потихоньку... помогите пожалуйста :) Link to comment Share on other sites More sharing options...
Takeprofiter Posted June 22, 2009 Author Report Share Posted June 22, 2009 мде... помощи видимо не будет....((( Link to comment Share on other sites More sharing options...
thyrex Posted June 23, 2009 Report Share Posted June 23, 2009 C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.b Нужно заменить на чистый из дистрибутива Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Takeprofiter\reader_s.exe','');DeleteFile('C:\Documents and Settings\Takeprofiter\reader_s.exe');DeleteFileMask('C:\Documents and Settings\Takeprofiter\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделать новые логи Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now