шалят заразы :b

**boneadventure** · 06.11.2009, 09:37

Стал обращать внимание что происходит что-то неладное в системе. То alt+tab не сработает, то нажмется сама собой клавиша, то процессы неведомые появятся, а где-то и подтормозить может. Касперский молчал. Проверил систему — нашлось два зверя: trojan.win32.pasta.arw и trojan.win32.genome.akfu в старых exe-шниках. Включил контроль целостности приложений. Тут вообще началось. Попытка загрузки нового или измененного модуля заблокирована, разрешена. Попытка процесса получения доступа к KAV заблокирована, изменился исполняемый файл приложения и т.п. Ахтунг как говорится :b
CureIt ничего не нашел, все сделал по инструкции, логи прикрепил.
Выручайте братья, как мне гадов побороть?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**snifer67** · 06.11.2009, 09:57

Сделайте такой лог http://virusinfo.info/showthread.php?t=58309

**vegas** · 06.11.2009, 11:29

Ничего подозрительного в логах не увидел. Уже Касперский 2010 вышел, а у вас все семерка стоит, обновить пора

**boneadventure** · 06.11.2009, 13:19

Сделал. Во время проверки всплыло виндовское сообщение об ошибке чтения файла, потом сам ушел в перезагрузку…

2 vegas:
пора, да уж :b

**boneadventure** · 06.11.2009, 13:38

периодически сообщение об ошибке explorer.exe, drwtsn32.exe
все висит, хотя загрузка цп 20%
и кстати, обратил внимание что в диспетчере у процессов не отображаются имена пользователя, странно…

**AndreyKa** · 07.11.2009, 10:58

Сообщение от boneadventure

в диспетчере у процессов не отображаются имена пользователя

Служба терминалов не запущена.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл c:\avz_log.txt

**boneadventure** · 07.11.2009, 15:38

Установил 9 KAV, потише стало, в логах настораживает частое PDM.DNS Query, PDM.IrpTableChanged, да еще вот:
Обнаружено: PDM.Hidden object 56PZTXP.EXE C:\DOCUMENTS AND SETTINGS\SERP\LOCAL SETTINGS\TEMP\DC00665964\56PZTXP.EXE

Запустил службу терминалов, пользователи появились, спасибо :b

**Rene-gad** · 07.11.2009, 15:45

Жалобы есть?
- Обновите Adobe Reader.

**boneadventure** · 07.11.2009, 18:22

Жалобы… Вот из последнего: перестал запускаться soulseek. Переустановил — заработал вроде. Слетела активация на adobe acrobat. Слетела ассоциация на jpg файлы (может еще какие, пока на заметил). Появилась папка recycler(2). Мелочи вроде, но неприятно когда вроде как само по себе это происходит…
Обновить попробую сейчас, у меня только не reader…

**Rene-gad** · 07.11.2009, 19:20

Сообщение от boneadventure

у меня только не reader…

Тогда не надо обновлять: просто анализатор уязвимостей ошибся

Сделайте лог полного сканирования MBAM.

**boneadventure** · 07.11.2009, 21:54

уже интереснее…

**Rene-gad** · 07.11.2009, 22:11

-Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-1644491937-764733703-1801674531-1003\Dc45.exe','');
QuarantineFile('C:\System Volume Information\_restore{A1F824C6-D107-4204-8BCE-CD1C597D146A}\RP3\A0000855.exe',''); 
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Удалите папки System Volume information на всех дисках : http://support.microsoft.com/?scid=k...9531&x=15&y=12.
- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**boneadventure** · 07.11.2009, 22:26

Ошибка скрипта: ')' expected, позиция [4:84]

**AndreyKa** · 07.11.2009, 22:46

Исправил.

**boneadventure** · 08.11.2009, 09:22

Сделал.
Кстати, появилась пара новых багов:
неизвестное устройство в диспетчере + пропал звук на компе :b

Удалил устройство, перезагрузился — звук есть…

Ох как-бы только не виндец… :b

**vegas** · 08.11.2009, 12:51

Сообщение от boneadventure

Кстати, появилась пара новых багов:
неизвестное устройство в диспетчере + пропал звук на компе :b

Это не бага, это драйвер АВЗ, все нормально.

Сообщение от boneadventure

Удалил устройство, перезагрузился — звук есть…

Все правильно сделали. Что с проблемами?

**boneadventure** · 08.11.2009, 16:36

1. В логах самозащиты касперского появились сообщения о запрете действия программ СTF Loader, Отладчик DrWatson, Client Server Runtime Process в отношении avp.exe
2. При перезагрузке тормоза, запустилось 2 drwtsn32.exe
3. В общем вроде как постабильнее начал работать :b
4. И вопрос — что это было? И как сделать чтобы этого больше не было?