гадость какая то в ядре, тихонечко течет трафик. Гляньте логи Плизз.
гадость какая то в ядре, тихонечко течет трафик. Гляньте логи Плизз.
Последний раз редактировалось als-a; 17.02.2009 в 14:14.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); QuarantineFile('dopdfmn5.dll',''); QuarantineFile('UPS.sys',''); QuarantineFile('%system32%\drivers\UPS.sys',''); BC_ImportQuarantineList; BC_QrSvc('UPS'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=27879 ).
.sys в Модулях пространства ядра - скорее всего не гадость, но можете в AVZ - Сервис - Модули пространства ядра снять с него дамп, и полученный дамп из папки DMP прислать нам по вышеуказанной ссылке в архиве с паролем virus.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
У Вас установлен блок бесперебойного электропитания?
В результате выполнения скрипта в каталог карантина легли ini - файлы. Файлы *.dat отсутствуют. Это правильно ? Вот содержание одного из ini файла:
[InfectedFile]
Src=\??\dopdfmn5.dll
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034
Добавлено через 2 минуты
Да UPS стоит и сотф соответстущий тоже UPS.sys не причем видимо. А dopdfmn5.dll не может относиться к менеджеру печати лазерных принтеров ?
Добавлено через 54 секунды
Сори сотф = софт
Последний раз редактировалось als-a; 11.08.2008 в 13:39. Причина: Добавлено
Дамп снялся
Поищите и пришлите файл dopdfmn5.dll по приложению 2 и 3 правил.
не находит - мучаюсь
Добавлено через 44 минуты
Ну файл не находиться в ресстре на него указывают ключи:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Pr int\Monitors\doPDF Desktop 5 Monitor\\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\doPDF Desktop 5 Monitor\\Driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\doPDF Desktop 5 Monitor
Может удалить ?
Добавлено через 4 минуты
А в ядре .sys это что заархивировал дамп с него и загрузил пы указанной ссылке.
Последний раз редактировалось als-a; 11.08.2008 в 14:51. Причина: Добавлено
Ничего удалять не надо
А чего делать то ? Kомп за час отправляет более 2 тысяч icmp пакетов на адрес маршрутизатора (циска) который стоит между инетом и локалкой не пойму откуда ноги растут. Причем не в инет а именно маршрутизатору такое ощущение как будто моя машина его постоянно пингует....
Добавлено через 1 минуту
Не было до отпуска. Пока был в отпуске тут за моим компом посидел кое-кто (убил бы) и вот такая ерунда началась....
Последний раз редактировалось als-a; 12.08.2008 в 11:20. Причина: Добавлено
Пункт 2 правил выполнялся (полная проверка CureIt!) ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
На машине стоит KAV 6 for Workstation сносить его очень не желательно так как в локалке есть сервер администрирования KAV который рулит ключами к касперскому он отличает машины по MAC адресу. Снос касперского и его повторная установка - потеря одной лицензии.... Чувствую что они с CureIt не очень будут дружить, но попробую.
Сделал быструю проверку - ничего. Запустил полную проверку - нашел в хранилище касперского пару давно убитых вирусов, проверил 70000 тысяч файлов и тихонечко насмерть повис. Щас попробую в Safe Mode..
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.