-
Junior Member
- Вес репутации
- 54
неубиваемый Trojan.PWS.Panda.122
компьютер - нотебук. Установлен drWeb лицензия на год (истекает в апреле 2010). в начале июня, скорее всего это было 3, когда была атака этим вирусом, произошло заражение компьютера. С того момента заблокировалось обновления для дрВеба и вовремя обезвредить вирусы не получилось.
несколько дней назад, этот агонизирующий зверь, был передан в мои руки.
Что было:
в нормальном режиме windows при старте программ, сначала вываливалось ДОС окно с подробным описанием процессов: кто стартовал, зачем, что делает. затем следовал deley 6 sec и грузилась программа.
др Веб был обновлен вручную в защищенном режиме. Был отловлен зоопарк троянцев и благополучно сдан на пушнину.
после перезагрузки система заработала нормально.
Привычка проверять работу оказалась полезной. в процессе System:4 сидел Trojan.PWS.Panda.122
др Веб отрапортовал, что вирус обезврежен. Последовала логичная полная проверка системы и перезагрузка.
Др Веб отрапортовал, что в процессе System: 4 обезврежен Trojan.PWS.Panda.122.
Ущипнув себя за руку, дабы избежать сомнений, повторил на всякий случай лечение и перезапуск.
в защищенном режиме там же история.
Краткий экскурс в интернет рассказал мне печальную историю о событиях 3 июня с.г. Заодно привел к Вам на огонек.
почитав темы и правила создания тем и как примерный пользователь ПЭВМ, я скачал программы на другом компьютере и скопировал на нотебук через флеш.
попытка запусть AVZ и HiJackThis ни к чему не привели. иконки испрвано жались, слышались щелчки, появлась иконка с песочными часами на пару секунд. и все.
что имеем в наличии:
AVZ4 - актуализирован на 16-30.
HiJackThis.
CurIT - актуализация на 3 августа.
неизвестный хомяк в системе, который съедает попытки запустить AVZ и HiJackThis.
другие приложения запускаются без вопросов. офис, броузеры. (поправлено: медия не запускается.)
кстати. IE выдает презабавную надпись в шапке: http://www.yandex.ru/?clid=40488 - Hacked by Godzilla
если это подскажет что нибудь.
ОС лицензионная Windows Home Edition.
к сожалению логи прислать не могу по вышеописанной причине.
Последний раз редактировалось Lukianov Ivan; 04.08.2009 в 16:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Lukianov Ivan
к сожалению логи прислать не могу по вышеописанной причине.
К сожалению без логов помочь не сможем. Попробуйте сделать логи с помощью SPECIAL AVZ (качать по ссылке в подписи, базы обновлять не надо).
-
-
Junior Member
- Вес репутации
- 54
ок. попробую.
если не поможет, будем лечить через вскрытие. извлечением винта и тотальной проверкой на чистой системе.
всегда есть в запасе антивирусная утилита format c:. Но полчедний боевой патрон оставим врагам.
Спасибо за оперативный ответ.
препарирование и тотальная чистка антивирусом дало результат: минус два вируса.
НЕ ПОМОГЛО!
попытка вручную отредактировать реестр дали нулевой реультат. regedit заблокирован.
получилось установить AnVir Task Manager
тотальное отключение всего что являлось некритичным выявило следующее: Фоновая интеллектуальная передача данных <Файл не найден> - это грузится без моего желания. отключить невозможно, потому как %fystemRoot% в системе отсутствует. Нашел у вас интересную тему.
http://virusinfo.info/showthread.php?t=43700
теперь вопрос знатокам - какой программой влезть в реестр и поправить это безобразие если штатный регэдит не работает?
подсказали использовать SDfix в безопасном режиме. в общем он отработал. отрапортовался. позволил слазить в реестр и убить ключи с %fystemroot%
после перезагрузки вирус остался.
avz не запускается по прежнему.
в целом система пришла в себя. работает, но медленно. диспетчер задач показывает аномально большое потребление памяти процессами, но при этом общее значение в графике показывается нормальным.
продолжение следует.
Последний раз редактировалось Rene-gad; 06.08.2009 в 15:48.
-
Извините великодушо, но я вынужден прервать Ваш монолог Будут логи - отпишитесь, не будет логов - форматните хард и тоже отпишитесь.
-
-
Junior Member
- Вес репутации
- 54
что ж. хэппи энд. обновилась сигнатура ДрВеба от 9 числа и Панда была благополучно удалена.
спасибо за внимание и извините за беспокойство.
тему можно закрыть.
ps
Special AVZ залейте в пределах домена virus.info имхо будет логично скачивать с этого сайта а не с сомнительных шар, которые заботливо прикрывают админы сети.
pss
просьба к авторам этого сайта.
создайте плз образ загрузочного диска с антивирусным и/или диагностическим ПО, что бы можно было использовать его для полной диагностики компьютера в случае отказа большей части его сервисов.
будет намного проще загрузиться с диска, продиагностироваться с чистого ПО и получить рекомендации что делать дальше. В идеале отчет можно было бы сохранить на флешку.
С Уважением.
-
Сообщение от
Lukianov Ivan
Special AVZ залейте в пределах домена virus.info имхо будет логично скачивать с этого сайта а не с сомнительных шар
1. Это неофициальная версия программы, посему она не может быть размещена на портале ВИ
2. Это нормальные шары и нормальные админы их не блокируют
создайте плз образ загрузочного диска с антивирусным и/или диагностическим ПО
Скачивание образа диска весом в 700 Мб заблокирует портал. Купите, плиз, лицензию антивируса, который делает возможным создание загрузочного диска, напр. Нортон, Др.Веб, Касперский и т.д.
Как фриварную версию можете рассмотреть плагин Макаффе к BartPE
-