Здравствуйте Вам!
Собственно, указанные в заголовке вирусы обнаруживаются в \windows\temp\1.tmp и 2.sys, соответственно. Танцы с различного рода бубнами славной победы не обеспечили.
Соответствнно, ПОМОГИТЕ!!!!!!
Здравствуйте Вам!
Собственно, указанные в заголовке вирусы обнаруживаются в \windows\temp\1.tmp и 2.sys, соответственно. Танцы с различного рода бубнами славной победы не обеспечили.
Соответствнно, ПОМОГИТЕ!!!!!!
Очень советую удалить Malwarebytes, ее использование может быть опасным.
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('C:\DOCUME~1\Mattini\LOCALS~1\Temp\musbehco.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys',''); QuarantineFile('c:\windows\felix.exe',''); BC_ImportQuarantineList; BC_Activate; ExecuteRepair(1); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25619 ).
Очистите временные папки и кеш браузера.
Кто обнаружил названных Вами зловредов, Malwarebytes?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Этих зловредов обнаружил Касперский 7. Обещает удалить, перегружается, файлы и вирусы остаются. Dr.Web первого обнаруживал также под именем Trojan.EmailSpy.origin.
Malwarebytes обнаружил и, как утверждает, ликвидировал штук 5 других вирусов в других местах. На вышеуказанных это впечатления не произвело.
Тут теперь еще проблема - эксплорер сеть не видит.
Последний раз редактировалось Mattini; 01.07.2008 в 15:02.
Не вижу Вашего карантина.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантин направил. Прошу проощения за то, что поздно - восстанавлитвал доступв Интернет. Вот этот 'C:\DOCUME~1\Mattini\LOCALS~1\Temp\musbehco.sys' не нашелся.
Felix.exe - приблуда нашего интернет-провайдера для авторизации и доступа в тырнет (на всякий случай...).
Вирус плодит неустанно в \windows\temp\ файлы .tmp и .sys с номерными именами, на которые Касперский и ругается. После удаления IceSword-ом (так просто не удаляются) при перезагрузках начинают размножаться по новой.
Еще, при включении у Касперского контроля целостности приложений он начинает (при запуске и-эксплорера) орать про попытки загрузки модулей приложениями svchost.exe, wuauclt.exe, iexplore.exe.
Последний раз редактировалось Mattini; 02.07.2008 в 08:46.
Указанные файлы в temp скопируйте IceSwordом, запакуйте в архив с паролем virus и пришлите по правилам.
Пункт 2 правил выполнялся (полная проверка CureIt!)?
Последний раз редактировалось kps; 02.07.2008 в 13:44.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Отправил файлы.
Пункт 2 в части полной проверки не выполнялся, поскольку ... Короче, запускаю сейчас - о результатах сообщу.
В результате, не сдюжил КурИт - отловил что-то, что-то поделал, а потом сказал, дескать "...память не может быть рид...", ну и скоропостижно исдох,перегрузив компутер. После перезагрузки свирусы опять на своем традиционном месте.
Последний раз редактировалось Mattini; 02.07.2008 в 20:08.
Новые логи:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('musbehco'); BC_DeleteSvc('catchme'); BC_Activate; RebootWindows(true); end.
Важно знать, где Cureit! нашел вирусы? У Вас его лог сохранился?
+ Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Итак.
1. Скрипт выполнился сначала с ошибкой и вылетом AVZ, потом прошел в безопасном режиме, потом, после пары перезагрузок и сканирования Gmer-ом прошел и в обычном режиме.
2. Лог CureIt остался обрезанный на ошибке, но весит больше 38 Мб. Выдержку из него со строками с вирусами прилагаю.
3. Gmer в обычном режиме вылетает с ошибкой. В защищенном прошел полностью, лог прилагаю.
Вирусы по прежнему на месте в папке \temp\ уже расплодились в большом количестве файлов .tmp и .sys.
У вас хитрый зловред. Сейчас будем удалять:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll',''); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll'); DeleteFileMask(NormalDir('%Tmp%'), '*.*', true); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25619 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи по правилам.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Ок. Крантин выслал.
Временные папки и др. почистил CCleaner-ом. Содержимое \Windows\Temp\ почистил IceSword-ом. Приступаю к генерации новых логов.
И опишите еще, остались ли какие-нибудь проблемы.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Новые логи прилагаю.
Тот вирус вроде как больше не проявляется. В той самой папке \Temp\ пусто и это вселяет оптимизм.
Последний раз редактировалось Mattini; 07.07.2008 в 12:59.
Особо ничего подозрительного больше в логах не видно. Разве что проверим вот это:
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; BC_QrFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys'); BC_Activate; RebootWindows(true); end.
Пришлите карантин.
Лучше проверьтесь еще раз свежим CureIt!.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантин послал по ссылке, что чуть выше.
Спасибо за красивую и эффективную работу.
Последний раз редактировалось Mattini; 07.07.2008 в 12:57.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\документы\\settings\\abc32.dll - Trojan.Win32.Inject.dbw (DrWEB: Trojan.Inject.3585)
- \\1.tmp0 - SpamTool.Win32.Small.z (DrWEB: Trojan.EmailSpy.129)
- \\2.sys0 - Backdoor.Win32.IRCBot.csk (DrWEB: Trojan.NtUnhook)
Уважаемый(ая) Mattini, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.