Здравствуйте, Знатоки!
Либо вышла новая модификация, либо где-то не дорабатывают KAV с доктором...
Стоит drweb ent suite - не поймал.
Сканировался в безопасном и с livecd, cureit + KAV removal tool - ничего
Вирус живет.
Спасайте..
Здравствуйте, Знатоки!
Либо вышла новая модификация, либо где-то не дорабатывают KAV с доктором...
Стоит drweb ent suite - не поймал.
Сканировался в безопасном и с livecd, cureit + KAV removal tool - ничего
Вирус живет.
Спасайте..
Последний раз редактировалось lawpin; 22.06.2011 в 17:22. Причина: attach
Уважаемый(ая) lawpin, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp',''); DeleteFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp'); RegSearch('HKLM', '', 'espE8B9.tmp'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Спасибо за ответ, но этого явно недостаточно..
В модулях пространства ядра постоянно висит некоторый файл sp??.sys (? - переменные буквы, меняются после перезагрузки). Этого товарища выловить не получается
Сейчас сделаю новые логи и прикреплю.
Карантин добавлен.
не буду спорить, но это не sptd.sys
в инет пока не выпускаю, жду вердикта.
Последний раз редактировалось lawpin; 22.06.2011 в 22:51. Причина: добавлен avz.log
Извините, я кое-что упустил в предидущей рекомендации.
Выполните скрипт в AVZ:
И приложите файл avz.log из папки AVZ к следующему сообщению.Код:begin RegSearch('HKLM', '', 'espE8B9.tmp'); SaveLog(GetAVZDirectory+'avz.log'); end.
Судя по тому, что последний скрипт был выполнен после лечения и упоминания в реестре остались, лечение было безуспешным, да?
Дело в том что пути C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp в системе нет, темп был удален еще вчера. Сейчас полностью удалил профиль xxx, как неиспользуемый.
дико извиняюсь, добавил в прошлое сообщение. в реестре хвосты остались.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Print\Providers\313BF988'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet003\Control\Print\Providers\313BF988'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Print\Providers\313BF988'); RebootWindows(true); end.
Сделайте повторные логи.
последние логи
Чисто, что с проблемой?
Проблема на месте, баннера нет, но страницы прогружаются с середины html кода.. видимо что то пытается внести изменения
мозилла показывает html обрезки
IE пишет что недоступен сайт..
А вот спустя пару минут попыток хождения по инету - вылез баннер
сейчас добавлю логи
сейчас пришлось в особо извращенной вырезать блок с ненавистным баннером в мозилле при помощи ADblock..
но жить с этой тварью очень не хочется.
логи в приложении
всё настолько безнадёжно?
Выполните следующее:
Запустите AVZ, кликните сервис - поиск файлов на диске.
В открывшемся окне установите следующие параметры:
Область поиска: выберите диск C:
Имя файла (или маска): *.dll
Дата изменения (поставте галочку): диапазон. Укажите последний месяц.
Поставьте галочки перед: Исключить файлы, известные AVZ как системные и безопасные.
Нажмите пуск и выполните поиск файлов. Отметьте найденные файлы и кликните "копировать в карантин".
Пришлите карантин по правилам.
Файл сохранён как 110623_074247_quarantine_4e02ee770b457.zip
Получилось 25м архива, обновлялась java.
Насколько я знаю, вирусы уже давно используют практику сметы атрибутов даты.
во всех что стоят, IE8 + Mozilla 5.0
Уважаемый(ая) lawpin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.