Показано с 1 по 8 из 8.

Гляньте (заявка № 56402)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    72

    Thumbs up Гляньте

    Чужой компьютер принесли на посмотреть. Проверил на вирусы. Нашел. Гляньте, может что осталось.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать заново логи после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    72
    Не порадовали. Совсем не порадовали. И дело даже не в том, что нашли вирус. Дело в том, что я этот вирус уже удалял - прогнал CureIt'ом, правда в обычном режиме. Он клятвенно пообещал, что после перезагрузки этот вирус удалит. Restart, смотрю - обещание сдержал, вируса нет! Да и взяться ему просто неоткуда: интернет не подключен, локальной сети нет, флешку вставлял одну единственную, проверенную на рабочей (незавирусованной) машине(файлов на ней мало, видно и автораны и ресиклеры, Shift + Del сразу), ко всему прочему автозапуски на "больной" машине отключены. Показ скрытых файлов у меня везде включен, этот наивный трюк знаю А раз так, то вот и повод для грусти: либо на компе сидит дроппер, либо в АВЗ попала старая информация (сомнительно, я компьютер перезагружал 100%). Других носителей в комп не вставляли, это точно. Как так? Логи делал с запущенными браузерами - вроде Opera и IE8 - на стол должно было попасть все....
    Другой вопрос: на этой машине стоит "убитый" Avast. Толку от него ноль. Хотел снести - удалять традиционным путем не хочет. Видимо хозяева постарались. Как его грамотно снести вместе с драйверами нулевого кольца, сервисами и записями в реестре?
    P.S. Сейчас доступа к "больному" не имею. Логи будут завтра.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    1. Нашли следы вируса в реестре, а не вирус.
    2. http://files.avast.com/files/eng/aswclear.exe

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    72
    ОК. Понятно. Аваст снес. Дополнительно поставил драйвер расширенного мониторинга процессов. Вызывает подозрение драйвер с именем spXX.sys, где XX - две произвольные латинские буквы. Например, в логе Gmer это spum.sys. Файл файловым менеджером не виден. Это что-то невредное? Или это sptd.sys себя так шифрует?
    Другой вопрос: ОС на машине стоит "облагороженная Вистой" WinXP SP2 (терпеть не могу такой изврат!). Можно ли поставить на это "убожество" SP3? Или это приведет к проблемам на уровне ОС из-за подмены системных файлов?
    Новые логи:
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Или это sptd.sys себя так шифрует? - да, это он. Это модуль в памяти, его на диске нет.

    Обновлять такие сборки можно, но осторожно. Есть варианты, когда СП3 становится нормально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.01.2009
    Сообщений
    37
    Вес репутации
    72
    Вот поэтому я и не люблю сборки.
    А как насчет логов? Ничего подозрительного?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В логах плохого не видно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) PavelXT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. гляньте мои логи
      От joniscoolkz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.06.2009, 17:01
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 10:03
    3. Гляньте пож. ссылку
      От valho в разделе Спам и мошенничество в сети
      Ответов: 2
      Последнее сообщение: 22.12.2008, 07:37
    4. гляньте логи
      От morale в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2008, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00600 seconds with 21 queries