Показано с 1 по 15 из 15.

Касперский видит трояна на внешнем жёстком диске (заявка № 44261)

  1. #1
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28

    Question Касперский видит трояна на внешнем жёстком диске

    Добрый день.
    Рассказываю. При запуске внешнего жёсткого диска Касперский выдаёт, вернее выдавал, подпись такого содержания:

    !Proactive Defense Alert

    Riskware:
    Trojan.generic

    Running process (PID: 440): [цифры после PID: меняются от раза к разу]
    F:\pagefiles.sys

    Action

    Process is performing suspicious actions. This behaviour is typical of Trojan programs. Details... (Details выводит History of process activity.)

    Нажимаю Quarantine - выдаёт Error moving to Quarantine. Дальше Skip - Rollback - Rollback successfully completed. А при следующем запуске диска всё начиналось сначала.

    В этой теме мне посоветовали обратиться к Вам, выполнив предварительно правила. Собственно, всё, что я проделал, там и описано, можно я не буду здесь перепечатывать по новой? Только при выполнении правил CureIt обнаружил ещё тучу вирусов на диске C:, один из них - BackDoor.Bifrost.637 - два раза, в файле win.exe, в начале и в конце проверки, оба раза удалил. Остальные все были какими-то одинаковыми троянами и были обнаружены в скопированной с чужой флэшки папке с музыкой. Но сейчас вроде бы всё нормально с диском C:, а осталась ли проблема с внешним жёстким диском - я не знаю по причинам, описанным по ссылке выше.

    Ещё добавлю, что щас Винды часто подвисают, но, как правило, мгновенно приходят в себя при нажатии Ctrl-Alt-Del, хаха .

    Логи прилагаю. В принципе, hijackthis.log у меня сохранялся под именем hijackthis.txt и при вложении произошла волшебная метаморфоза, но не думаю, что это имеет значение, я ничео не переименовывал специально.

    Спасибо. Надеюсь на ответ.

    Update: теперь Касперский при каждом запуске Виндов видит Backdoor.Win32.VanBot.pb в файле win.exe и предлагает стереть и перезагрузиться. Жать Cancel и Skip?
    Одновременно он стал видеть Trojan.generic в файле C:\pagefiles.sys при открытии диска С:. Час от часу не легче. Что делать-то?

    Update 2: вот блин. Придётся вложения переделывать теперь. Добавлю позже.
    Вложения Вложения
    Последний раз редактировалось Saluton; 21.04.2009 в 18:59.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для сведения: pagefile.sys - нормальный файл, который м.б. в корне диска.
    Про остальное расскажем по логам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Добавил логи.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('/E:vbs','');
     QuarantineFile('G:\autorun.inf','');
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\win.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.sys','');
     QuarantineFile('C:\WINDOWS\system32\anpla.dll','');
     DeleteFile('C:\WINDOWS\system32\regedit.sys');
     DeleteFile('C:\WINDOWS\win.exe');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('F:\autorun.inf');
     DeleteFile('G:\autorun.inf');
     DeleteFile('/E:vbs');
     ExecuteRepair(9);
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    На внешнем еще должен быть файл .vbs Его разыскать через AVZ и добавить в карантин.
    Карантин прислать через http://virusinfo.info/upload_virus.php?tid=44261
    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Простите за тупой вопрос, а что вводить в окне "Добавление карантин по списку", чтобы он нашёлся? По запросу ".vbs" или "F:\.vbs" - не находится.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Ну, раз не находится, то будем считать, что его нет.

    Логи и карантин пришлите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Что же должно быть в карантине, если не этот файл?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Там кучка autorun-ов, да и прочая дребедень. Смотреть через AVZ - Просмотр карантина.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Карантин закачал, два лога прилагаю. Третий пытаюсь загрузить - выдаёт
    virusinfo_syscure.zip:
    Вы уже вложили этот файл в теме: Касперский видит трояна на внешнем жёстком диске
    Жду ответа...
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Пришлите
    C:\pagefiles.sys
    , это зловред. нормальный файл называется
    pagefile.sys
    Так же поищите
    Код:
    a2cmd.EXE
    и пришлите его по правилам.

  12. #11
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Прислал pagefiles.sys в архиве под названием virus1.
    a2cmd.EXE, C:\a2cmd.EXE, F:\a2cmd.EXE не находятся.
    Касперский 6.0 перестал запускаться через меню "Пуск". Надо удалить Ремувал-Тул?
    Последний раз редактировалось Saluton; 26.04.2009 в 18:46.

  13. #12
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    Есть новости?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    win.exe - Backdoor.Win32.VanBot.pb
    вот такой попался.

    Добавлено через 5 минут

    pagefiles.sys - чистый.
    Последний раз редактировалось PavelA; 30.04.2009 в 15:07. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    20.04.2009
    Сообщений
    8
    Вес репутации
    28
    О! PavelA. Я думал, Вы на up не реагируете.
    Да, о вирусе Backdoor.Win32.VanBot.pb я писал в начале темы. Щас вроде нет таких предупреждений, слава Богу (непонятно, как так получилось).
    Файл pagefiles.sys раньше не был виден на диске, сейчас волшебным образом появился. Я его отослал в вирлаб по совету из темы, ответили, что в нём обнаружен Trojan-Dropper.VBS.Agent.aj и "детектирование файла будет добавлено в следующее обновление". Мне через полчасика должны переустановить Windows и Касперского после всего, что было.
    Но проблема бы так и висела, если бы не это, к сожалению.
    В любом случае спасибо за помощь. Буду ещё писать, если что.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\win.exe - Backdoor.Win32.VanBot.pb ( DrWEB: BackDoor.Bifrost.637, BitDefender: Gen:Trojan.Heur.VB.1021DE9E9E )


  • Уважаемый(ая) Saluton, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 04.11.2011, 21:36
    2. На внешнем жестком диске вирус \"Авторан\" (заявка №83630)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 15.06.2011, 12:00
    3. Не удадяются файлы на жёстком диске
      От Квазябр в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.02.2011, 21:13
    4. Не видит папки на флеш-диске
      От alkarnet в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 09.07.2010, 13:54
    5. О жёстком диске
      От Nickolas в разделе Аппаратное обеспечение
      Ответов: 36
      Последнее сообщение: 13.07.2008, 23:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01547 seconds with 22 queries