Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Блокирует антивирус (заявка № 10943)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62

    Thumbs down Блокирует антивирус

    Не могу даже определить что это: вирус ли, червь, троян или же просто сбой системы.
    Включил однажды свой компьютер, автозагрузка не грузит нужные мне программы - ну думаю, всё, пора уже и антивирь включать, проверить (интернетом пользуюсь редко, поэтому смысла держать включенными антивирусные программы не вижу смысла). Так вот, антвирус у меня KIS 6.0 обновленный, не запускается, точнее постоит секунды две и исчезает, так же делает и Dr.Web. Лезу в диспетчер задач: 5 штук svchost.exe - удаляю самый жирный - выдает ошибку NT Authority/System и отчет как на космодроме - минута. Порыскал в инете, нашел, мол это червь Blast и чтоб его прогнать надо его удалить, поиск на компе ничего не дал. Руки у меня опущены.. что делать?

    Если подобный топик был - сильно не ругайте!

    (странно что третий файл virusinfo_syscheck.htm не грузит, постараюсь в следущем посте послать)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от r0ckman Посмотреть сообщение
    Если подобный топик был - сильно не ругайте!
    Когда же уже развеется этот стереотип. У нас к каждому случаю должна быть своя тема.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('D:\WINDOWS\System32\drivers\ppnjqq.sys','');
     QuarantineFile('D:\WINDOWS\System32\wmdrtc32.dll','');
     QuarantineFile('D:\WINDOWS\System32\win5480.dll','');
     DeleteFile('D:\WINDOWS\System32\win5480.dll');
     DeleteFile('D:\WINDOWS\System32\wmdrtc32.dll');
     DeleteFile('D:\WINDOWS\System32\drivers\ppnjqq.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    Пришлите файлы карантина по правилам раздела "Помогите". Сделайте ещё раз три лога, как написано в правилах.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Голая ХР - это круто. Тут можно словить все что угодно.
    Надо же обновлять хоть чуток систему, дырки закрывать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Не надо прикреплять карантин к теме.
    ppnjqq.sys - Virus.Win32.Sality.s
    wmdrtc32.dll - Email-Worm.Win32.Warezov.et
    win5480.dll - Trojan-Proxy.Win32.Agent.ll

    Ждем логов.

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    Эти?
    Вложения Вложения
    Последний раз редактировалось drongo; 10.07.2007 в 14:07.

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    Напомню..

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_DeleteFile('D:\WINDOWS\System32\wmdrtc32.dll');
     BC_DeleteFile('D:\WINDOWS\System32\drivers\ppnjqq.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    удаляет, но после ребута они вновь появляются. и логи не обновляет. (стало лучше - уже антивирус запустился)

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Как насчет того, чтобы обновить антивирус, ежели он запустился, и им прочистить машину.
    Мысли вслух: AVZ находит вирус в файле с расширением bak, а это насколько я знаю делает Dr.Web.

    Попробуем сделать так:
    Код:
    begin
     SetAVZGuardStatus(true);
     DeleteFile('D:\WINDOWS\System32\wmdrtc32.dll');
     DeleteFile('D:\WINDOWS\System32\drivers\ppnjqq.sys');
     DelCLSID('e7593602-124b-47c9-9f73-a69308edc973');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Это выполнить в защищенном режиме и при отключенных антивирусе и локальной сетки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    дело в том, что эти два файла я удалил в ручную, но после перезагрузки они вновь появляются.
    кстати, зараженый wmdrtc32.dll как раз таки не давал запускаться антивирусам

    Добавлено через 13 минут
    не действует тво способ PavelA
    Последний раз редактировалось r0ckman; 10.07.2007 в 17:58. Причина: Добавлено сообщение

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    %sysdir%\wmdrtc32.dll
    wmdrtc32.dll is rootkit W32.Sality.X.
    wmdrtc32.dll is used to hide files, processes and registry.
    wmdrtc32.dll is a kernel mode rootkit.
    Rootkit injects itself into the all running process.
    Rootkit contacts remote hacker server using HTTP session.

    Added lines to the file %Windir%\System.ini:
    [MCIDRV_VER]
    DEVICEN1=[RANDOM_NUMBER]

    Related files:
    %SysDir%\wmdrtc32.dll
    %SysDir%\wmdrtc32.dl_
    %SysDir%\drivers\[RANDOM].sys
    Вот что пишут на http://www.greatis.com/appdata/d/Sys...ll_Removal.htm
    и на http://www.symantec.com/enterprise/s...919-99&tabid=2
    В принципе там есть и лечилка от этого дела.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINDOWS\System32\wmdrtc32.dll');
    DeleteFile('wmdrtc32.dl_');
    DeleteFile('D:\WINDOWS\System32\drivers\ppnjqq.sys');
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Надеюсь, этим мы его убьем.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    бестолку.. делал всё, как вы писали
    выложу ещё раз логи
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    павел, можешь суть проблемы обьяснить? я так понимаю надо эти два файла искоренить с винта?

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Есть еще один вариант - скачать Cure-It от Dr.Web на чистую машину и провериться с загрузочного диска.
    Если есть действительно Virus.Win32.Sality.s, то должно найтись очень много зараженных файлов.

    Закачай все-таки карантин по ссылке вверху темы. Какие-то непонятки с названиями вирусов получаются. Warezov.et всегда идет с другим прицепом.

    Добавлено через 5 минут
    Цитата Сообщение от r0ckman Посмотреть сообщение
    павел, можешь суть проблемы обьяснить? я так понимаю надо эти два файла искоренить с винта?
    Суть проблемы в том, что файл с расширением sys - опасный файловый вирус, портящий exe-файлы и его методами AVZ лечить сложно.
    На чистой машине переименуй Avz.exe в Avz.com и попробуй сделать проверку диска.
    а во-вторых сделай так: зашли файлы из карантина на virustotal.com, а сюда приложи лог, что на том сайте тебе скажут.

    Это добавок к тому, что я написал выше.
    Последний раз редактировалось PavelA; 10.07.2007 в 18:48. Причина: Добавлено сообщение
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    Я далёк от понятий интернета и прочих радостей - что значит "чистая машина"? Компьютер без вирусов?
    Я CureIt скачал - не помог - удалил он два зараженных .exe файла и тот злостный файлик ppnjqq.sys - но он всеравно вернулся.
    (Заметил, что он сам появляется в папке drivers корневого каталога виндоус, как только его удалишь, либо сам, либо программой)

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Cure-It надо запускать на полную проверку диска, а не только на экспресс, как он делает по умолчанию.

    "Чистая машина" - компьютер без вирусов. Есть такие вирусы, которые сразу заражают exe-файл, как только его пытаются запустить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    веб нашел свыше 50 зараженных эксэшников Win32.Sector.28682
    травлю дальше

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    r0ckman, я конечно пишу прописные истины, однако достаточно 10 минут нахождения в интернете без защиты ("голый ХР") и 100% заражение. Такое лечение бессмысленно, до следующего подключения в интернет (необязательно ходить по сомнительным сайтам или открывать закаченный файл).

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    сегодня уже ухожу. Завтра буду ждать результата.
    Предупрежу сразу: возможно понадобится переустановка системы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    10.07.2007
    Адрес
    Россия, Татарстан, Набережные Челны
    Сообщений
    12
    Вес репутации
    62
    выкурил все зараженные файлы, остался лишь один
    D:\WINDOWS\system32\drivers\ppnjqq.sys
    отсканил HiJackThis
    проверил AZV
    результаты карантина пришлет другой профиль
    Вложения Вложения

  • Уважаемый(ая) r0ckman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Антивирус блокирует URL [Trojan.Win32.Jorik.Carberp.cpr, Trojan-Dropper.Win32.Injector.fmog ]
      От Евгений Стрышков) в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.08.2012, 17:30
    2. антивирус блокирует url
      От margaritka47729 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.06.2012, 15:39
    3. Блокирует антивирус
      От Andrey Leon в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.04.2010, 16:42
    4. Вирус блокирует антивирус
      От Ariella в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.01.2010, 01:34
    5. Что то блокирует антивирус
      От SSwD в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 08:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00156 seconds with 20 queries