Подозрение на trojan.win32.Pakes.gb или еще чего похуже...
Существовал на диске набор подобных файлов:
C:\WINDOWS\System32\Drivers\cjfbhveb.sys
C:\WINDOWS\System32\Drivers\sptpckrc.sys
и еще куча *.tmp
Не получалось удалить ни один.
При попытке прибить с помощью icesword122en, возникали заново после перезагрузки.
cjfbhveb.sys был скопирован в "мои документы" и переименован
затем файл был отправлен на анализ, результаты: http://www.virustotal.com/analisis/b...3937049f2924b9
В ходе выполнения сканирования, какой-то внтивирус его удалил, а к тому времени,
я прибил файлы скриптом из avz.
Скорее всего, это был trojan.win32.Pakes.gb,
и есть мнение, что комп до сих пор не излечен.
Наткнувшись на этот форум, попробовал сделать по инструкции и вот что получилось:
1. файл avz.exe был скопирован с sd-карты защищенной от записи на комп и запущен.
Сразу при запуске файл "потолстел" с 733696 до 754688.
2. при выполнении обоих скриптов avz много раз ругался и выдавал сообщения "windows - диск отсутствует" одно за другим раз по 50.
Похоже вирус основательно засел в ядре и сопротивляется попыткам его прибить.
Помогите, пожалуйста, вылечить комп. Переустановку системы с форматированием раздела с: пробовал дважды.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Видимо у вас файловый вирус.
1. Упакуйте ваш экземпляр avz.exe в zip или rar архив с паролем virus и пришлите по красной ссылке вверху темы.
2. Воспользуйтесь рекомендациями из этой статьи: http://virusinfo.info/showthread.php?t=15927.
3. Скачайте заново AVZ и HijackThis, обновите базы AVZ и сделайте новые логи.
К сожалению, и cure it, и dr.web нашли только всякую мелочь, файловый вирус никуда не делся.
>>>> 3. Скачайте заново AVZ и HijackThis, обновите базы AVZ
>>>> и сделайте новые логи.[/QUOTE]
Хотелось бы уточнить:
при попытке запуска АВЗ с защищенного носителя (SD с защелкой в положении lock) он хоть и долго, но все-таки грузится. Но при попытке пуска проверки,
выпадает окно "ошибка защиты от записи ... снимите защиту с тома ..." и так несколько десятков раз,
при том, что галочка стоит только на "проверять запущенные процессы".
Следует ли запускать avz с жесткого (вирус их меняет еще при запуске) ?
hijackthis это почему-то не касается,
Последний раз редактировалось Lin_reigns; 08.02.2009 в 15:10.
Скачал новые hijackthis и AVZ, у AVZ обновил базы и сделал новые логи.
Екзешник AVZ по прежнему толстеет при запуске, при выполнении скриптов много раз выпадает окно "отсутствует диск", как и раньше, но логи уже отличаются.
Логи вложены.
Есть ли у Вас, господ хелперов, какие-нибудь рекомендации?
Пока файловый вирус не уничтожен, не было смысла заново качать AVZ и делать логи. Вы пробовали использовать AVP Tool, как советовал rubin?
АВПтул ничего не нашел.
Отформатировал диск С и заново поставил систему.
Файловый вирус пока не подает признаков своего присутствия.
АВЗ не толстеет, поєтому проверил им весь винт.
Нашел он только парочку троянов на диске D.
Что бы вы посоветовали сделать профилактического прежде чем инсталлировать ПО с дисков D и E ?
Сегодня поставил KIS 2009 8.0.0.454.
Он нашел кучу екзешников среди инсталяшек, зараженных win32.virut.ce
Попробую сегодня запустить одну из вылеченных инсталяшек и проверить, пропадет ли эффект толстения avz.exe.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Подозрение на trojan.win32.Pakes.gb или еще чего похуже...
Сообщение от Bratez
