Не могу даже определить что это: вирус ли, червь, троян или же просто сбой системы.
Включил однажды свой компьютер, автозагрузка не грузит нужные мне программы - ну думаю, всё, пора уже и антивирь включать, проверить (интернетом пользуюсь редко, поэтому смысла держать включенными антивирусные программы не вижу смысла). Так вот, антвирус у меня KIS 6.0 обновленный, не запускается, точнее постоит секунды две и исчезает, так же делает и Dr.Web. Лезу в диспетчер задач: 5 штук svchost.exe - удаляю самый жирный - выдает ошибку NT Authority/System и отчет как на космодроме - минута. Порыскал в инете, нашел, мол это червь Blast и чтоб его прогнать надо его удалить, поиск на компе ничего не дал. Руки у меня опущены.. что делать?
Если подобный топик был - сильно не ругайте!
(странно что третий файл virusinfo_syscheck.htm не грузит, постараюсь в следущем посте послать)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не надо прикреплять карантин к теме.
ppnjqq.sys - Virus.Win32.Sality.s
wmdrtc32.dll - Email-Worm.Win32.Warezov.et
win5480.dll - Trojan-Proxy.Win32.Agent.ll
Как насчет того, чтобы обновить антивирус, ежели он запустился, и им прочистить машину.
Мысли вслух: AVZ находит вирус в файле с расширением bak, а это насколько я знаю делает Dr.Web.
Попробуем сделать так:
Код:
begin
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\System32\wmdrtc32.dll');
DeleteFile('D:\WINDOWS\System32\drivers\ppnjqq.sys');
DelCLSID('e7593602-124b-47c9-9f73-a69308edc973');
ExecuteSysClean;
RebootWindows(true);
end.
Это выполнить в защищенном режиме и при отключенных антивирусе и локальной сетки.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
дело в том, что эти два файла я удалил в ручную, но после перезагрузки они вновь появляются.
кстати, зараженый wmdrtc32.dll как раз таки не давал запускаться антивирусам
Добавлено через 13 минут
не действует тво способ PavelA
Последний раз редактировалось r0ckman; 10.07.2007 в 17:58.
Причина: Добавлено сообщение
%sysdir%\wmdrtc32.dll
wmdrtc32.dll is rootkit W32.Sality.X.
wmdrtc32.dll is used to hide files, processes and registry.
wmdrtc32.dll is a kernel mode rootkit.
Rootkit injects itself into the all running process.
Rootkit contacts remote hacker server using HTTP session.
Added lines to the file %Windir%\System.ini:
[MCIDRV_VER]
DEVICEN1=[RANDOM_NUMBER]
Related files:
%SysDir%\wmdrtc32.dll
%SysDir%\wmdrtc32.dl_
%SysDir%\drivers\[RANDOM].sys
Есть еще один вариант - скачать Cure-It от Dr.Web на чистую машину и провериться с загрузочного диска.
Если есть действительно Virus.Win32.Sality.s, то должно найтись очень много зараженных файлов.
Закачай все-таки карантин по ссылке вверху темы. Какие-то непонятки с названиями вирусов получаются. Warezov.et всегда идет с другим прицепом.
Добавлено через 5 минут
Сообщение от r0ckman
павел, можешь суть проблемы обьяснить? я так понимаю надо эти два файла искоренить с винта?
Суть проблемы в том, что файл с расширением sys - опасный файловый вирус, портящий exe-файлы и его методами AVZ лечить сложно.
На чистой машине переименуй Avz.exe в Avz.com и попробуй сделать проверку диска.
а во-вторых сделай так: зашли файлы из карантина на virustotal.com, а сюда приложи лог, что на том сайте тебе скажут.
Это добавок к тому, что я написал выше.
Последний раз редактировалось PavelA; 10.07.2007 в 18:48.
Причина: Добавлено сообщение
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Я далёк от понятий интернета и прочих радостей - что значит "чистая машина"? Компьютер без вирусов?
Я CureIt скачал - не помог - удалил он два зараженных .exe файла и тот злостный файлик ppnjqq.sys - но он всеравно вернулся.
(Заметил, что он сам появляется в папке drivers корневого каталога виндоус, как только его удалишь, либо сам, либо программой)
r0ckman, я конечно пишу прописные истины, однако достаточно 10 минут нахождения в интернете без защиты ("голый ХР") и 100% заражение. Такое лечение бессмысленно, до следующего подключения в интернет (необязательно ходить по сомнительным сайтам или открывать закаченный файл).
выкурил все зараженные файлы, остался лишь один
D:\WINDOWS\system32\drivers\ppnjqq.sys
отсканил HiJackThis
проверил AZV
результаты карантина пришлет другой профиль
Уважаемый(ая) r0ckman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: