Показано с 1 по 17 из 17.

ДрВеб лечит при каждой загрузке. (заявка № 43315)

  1. #1
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32

    Exclamation ДрВеб лечит при каждой загрузке.

    Внешне кроме этого проблем нет, но наверное потому, что работают под ограниченной учеткой.
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Документы\yqknii.exe','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\yqknii.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    карантин пуст, логи в процессе.
    никак нельзя ускорить процесс их сборов? xчаса о 2-3 местами всю виндовую справку гоняет. и офисную тоже

  5. #4
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    логи и карантин
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Проблема еще наблюдается?

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SetServiceStart('cdralw', 4);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)
    3. Обратите внимание: C:\WINDOWS\System32\r_server.exe

    4. У Вас заметны остатки другого антивируса:
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

    5.
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Обновлять систему и IE надо
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    ДрВеб лечит при каждой загрузке.
    корректирую. Лечит в течении рабочего дня.
    (причем в этот момент падает интернет на вин2003 Сервер, перезапуск служб, соединений и ПО, отвечающего за раздачу инета не помогает, только ребут. По Вин2003 помочь сможете?)
    1. "Ошибка при попытке прямого доступа к файлу"
    не дословно, но я думаю вы эту ошибку знаете. если нет - простите, пойду смотреть еще раз.
    IceSword этот файлик не видит.
    2. сделано
    3. отключил, но он кажется безопасный?
    4. удалил, но Нод был отключен. оставлен был по причинам человеческого фактора.
    5. обновлять после лечения или сейчас начинать?

    логи чуть позже..

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Установите AVZPM и (после перезагрузки) сделайте лог virusinfo_syscure.zip (скрипт №3)
    The worst foe lies within the self...

  9. #8
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    готово
    Последний раз редактировалось Чижъ; 10.06.2009 в 13:52.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Давайте еще так попробуем:
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\artioslm.cpl','');
     QuarantineFile('C:\WINDOWS\system32\artiosio.cpl','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tablet2k.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\SNTNLUSB.SYS','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
     DeleteService('cdralw');
     StopService('cdralw');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Cdralw2k.sys','');
     QuarantineFile('C:\WINDOWS\System32\ATMsrvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\spm\spmd.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Cdralw2k.SYS','');
     QuarantineFile('C:\Program Files\Alias\Maya6.0\docs\lib\Wrapper.dll','');
     QuarantineFile('C:\WINDOWS\system32\mdimon.dll','');
     QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
    The worst foe lies within the self...

  11. #10
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    QuarantineFile('C:\WINDOWS\system32\artioslm.cpl', '');
    QuarantineFile('C:\WINDOWS\system32\artiosio.cpl', '');
    это модули программы artiosCAD

    Добавлено через 13 минут

    Файл закачан, спасибо!
    Последний раз редактировалось Чижъ; 21.04.2009 в 17:27. Причина: Добавлено

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файл:
    C:\WINDOWS\system32\DRIVERS\nvmini.sys
    и сделайте ему принудительное копирование в любое удобное для вас место и Force Delete.

    3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('cdralw');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
    Так же прислать скопированный файл, заархивировав его с паролем virus.
    The worst foe lies within the self...

  13. #12
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    уже писал
    Цитата Сообщение от Чижъ Посмотреть сообщение
    IceSword этот файлик не видит.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    А какие файлы DrWeb лечит?
    The worst foe lies within the self...

  15. #14
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - инфицирован Trojan.DownLoader.62110
    22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - инфицирован Trojan.DownLoader.62110
    22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - исцелен
    22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - исцелен
    22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - инфицирован Trojan.DownLoader.62110
    22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - инфицирован Trojan.DownLoader.62110
    22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - исцелен
    22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - исцелен
    причем еще на днях было
    21-04-2009 10:56:24 [CL] (PID = 1296) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\C5MTW1MB\root[1].gif - доступ к файлу запрещен
    поставил SP3+, антивирус молчит пока.. проверка ДрВебом ничего кроме радмина не находит. прибил радмин. AVTool не запускается ни из обычного, ни из безопасного:
    программа выполнила недопустимую операцию и будет закрыта
    другой дистрибутив пробовал
    еще симптомы:
    - не отжимается "не показывать скрытые файлы и папки"
    - в безопасном режиме приходится логинится ДВАЖДЫ, т.е. после первого ввода логина/пасса он еще раз высвечивает окно приветствия

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Похоже, что это был Trojan-Downloader.Win32.Murlo, использовавший уязвимости системы..
    Цитата Сообщение от Чижъ Посмотреть сообщение
    - не отжимается "не показывать скрытые файлы и папки"
    Это можно поправить, выполнив "Файл"->"Восстановление системы"
    Скрипты №6 и 8
    The worst foe lies within the self...

  17. #16
    Junior Member Репутация
    Регистрация
    18.03.2008
    Сообщений
    114
    Вес репутации
    32
    AVTool не запускается ни из обычного, ни из безопасного
    по этому поводу комментариев не будет?
    а так - как всегда низкий поклон.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Чижъ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 04.03.2011, 17:10
    2. Ответов: 3
      Последнее сообщение: 21.08.2010, 11:54
    3. Ответов: 2
      Последнее сообщение: 01.04.2010, 17:49
    4. Обсуждение ДрВеб
      От DenZ в разделе Антивирусы
      Ответов: 22
      Последнее сообщение: 28.09.2005, 11:20
    5. ДрВеб for ICAP
      От Geser в разделе Антивирусы
      Ответов: 7
      Последнее сообщение: 10.02.2005, 10:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01571 seconds with 21 queries