Сразу скажу, что не могу приложить ничего, поскольку avz и HijackThis не запускаются, не переименовываются, а avz даже не распаковывается полностью, при попытке поставить еще раз. Теперь суть - вирус блокирует все антивирусы, как и попытки их установки. И безопасный режим тоже. Однако на сайты производителей антивирусов захожу без проблем. Выполняет еще какие-то действия, но что именно - понять не могу. Какое-то время, например, через пару минут после загрузки переставала определяться звуковая карта. Через несколько часов включился снова - теперь работает. Антивирусы по-прежнему не реагируют. CureIt запустился, но сразу с началом сканирования - вылет.
Вот как-то так...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нет вашего карантина. Пришлите повторно по указанной ссылке!
А зверек у вас поселился непростой.
Найдите возможность воспользоваться другим ПК и сделать такой диск: http://www.freedrweb.com/livecd. Если полная проверка с помощью этого диска не даст результата, то загрузившись с него надо вручную найти и удалить следующие файлы:
C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe
C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys
C:\WINDOWS\system32\wintems.exe
Итак...
1. Проверка LiveCD ничего не дала. (кстати графический режим не запустился)
2. Указанные файлы удалил. После перезапуска winupgro.exe восстановился, стал виден в процессах, из которых безболезненно удалялся. Остальные удаленные не восстановились.
3. Свежескачанные avz и HijackThis успешно запустились, ими были сделаны все необходимые логи.
4. Перед отправкой решил проверить что там с безопасным режимом. При попытке его запустить — все как раньше — бсод/перезагрузка. Все удаленные файлы, кроме wintems.exe снова восстановились, avz и HijackThis снова перестали запускаться.
Были повторены пункты 2-3, сделаны новые логи, которые и выложил.
И, как я понимаю, повторная отправка карантина так же была безуспешной?
(Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle, которое так же появилось в 14 из 26 результатах при проверке пресловутого winupgro.exe на virustotal. Ну это я так, к слову...)
Я идиот... По криворукости своей я удалил папку C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld и из-за этого, вероятно, востановились все удаленные ранее файлы. wintems.exe и flec006.exe я удалил, но все, что обитает в папке drivers теперь восстанавливается полностью не зависимо от того что из них я удаляю через LiveCD.
Вы бы как нибудь все же прислали нам образцы, ни одного карантина от вас не поступило. Выполните еще раз то, что написано в сообщении #10, я скрипт немного подправил.
Последний раз редактировалось Bratez; 25.05.2009 в 06:44.
Карантин отправил. Это уже четвертая попытка, так что если не получится - может стоит попробовать какой-нибудь альтернативный вариант отправки?
Логи после выполнения скрипта:
Увы, никакого прогресса.
Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.
Не совсем понял как это можно сделать c drWeb'овского LiveCD. Графический режим у меня не запускается, а через Midnight Commander оно ведь не работает. Или вы имели ввиду какой-то другой?
Последний раз редактировалось xuwrlazv; 26.05.2009 в 01:07.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: