Мучаюсь с вирусом rdriv.sys. Появился день тому назад во время работы eMule. Интернет был под брендмауэром. Установлен AVP v. 5.0,123.
Проверил защиту брандмауэра - отключена. Лог virusinfo_syscheck,zip создать не получилось т.к. происходит перезапуск компа. 2 лога прилагаю.
Прошу помочь советом.
С уважением, Сергей
Последний раз редактировалось calambuuur; 25.08.2006 в 11:54.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пришлите по правилам форума файлы:Сообщение от calambuuur
rdriv.sys
C:\WINDOWS\MSmedia.exe
C:\WINDOWS\System32\TRAFIN~1.EXE
C:\Programme\InstallShield Installation Information\EA1CB7AC-E221-4822-A789-0ADB051DC498.exe
c:\windows\system32\twarnmsg.exe
c:\windows\system32\tpwrtray.exe
не забудьте включить противодействие руткитам
...включить противодействие руткитам
Как это сделать?
AVZ > закладка Параметры поиска > секция RootKit, поставить галки Блокировать работу RootKit User-Mode и Блокировать работу RootKit Kernel-Mode > Пуск
С уважением,
Alex Plutoff
А. ПЛАТОВ
В правилах форума нужно отправит только укузанные фалы и как их сделать. Можно подробней об отпраке запрошенныхт Вами файлов т.е. по шагам.
P.S. Вчера в сафе моде удалил rdriv.sys and msmedia.exe. Поиск их не находит сегодня. Кроме того установил Outpost FireWall.
В Правилах есть приложение 2. В нем все расписано. Если что не понятно спрашивайте.В правилах форума нужно отправит только укузанные фалы и как их сделать. Можно подробней об отпраке запрошенныхт Вами файлов т.е. по шагам.
Ссылка на вашу тему вот:
http://virusinfo.info/showthread.php?t=6099
где было написано, что эти файлы нужно удалить???
А где написано про "не забудьте включить противодействие руткитам"
Это от незнания!
Установил обнавления СР1. Инет вкл. Оутрост Фаирволл вкл.
Делаю все по правилам. Все логи получились.
Отправляю 3 файла
.
Последний раз редактировалось calambuuur; 25.08.2006 в 11:56.
давно пора поставить сп2 и заплатки
C:\WINDOWS\System32\00THotkey.exe
C:\toshiba\ivp\ISM\pinger.exe
C:\WINDOWS\System32\TWarnMsg.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe
это кто такие? если есть сомнения - присылайте как написано в правилах.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebai.de.tp/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 89.110.12.1:80
тут все правильно ?
O2 - BHO: ICOOExternal Class - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - C:\Program Files\ICOO Loader\addons\icooue.dll
O2 - BHO: ICOODManager Class - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - C:\Program Files\ICOO Loader\addons\icoou.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Pinger] C:\toshiba\ivp\ISM\pinger.exe /run
O4 - HKLM\..\Run: [TWarnMsg] TWarnMsg.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe" "ZTE\ZXDSL852"
O4 - HKLM\..\Run: [TRAFIN~1.EXE] C:\WINDOWS\System32\TRAFIN~1.EXE
O4 - HKLM\..\Run: [WindowsDienste] C:\Programme\InstallShield Installation Information\EA1CB7AC-E221-4822-A789-0ADB051DC498.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: icoo - {86FE362E-74FA-4F71-8B69-B94D28880628} - C:\Program Files\ICOO Loader\addons\icoou.dll
а это зачем ? во всем этом уверены ? в чем сомневаетесь - кидайте сюда как написано в правилах
а я дедушка-лето !
Небось, Toshiba Power Tray Indicator. Ноутбук, насколько я понимаю? И это наверное, из той же компании:Код:O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
А это, скорее всего, от ADSL-модема:Код:O4 - HKLM\..\Run: [TWarnMsg] TWarnMsg.exe
Прислать, конечно, не помешает, хоть удостоверимся в безопасности.Код:O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe" "ZTE\ZXDSL852"
Первый архив - "это кто такие"
Второй - "а это зачем ? во всем этом уверены ?"
Опс!
Не получается прикрепить архивы - 38.0 Кбайт превысил(а) предел на форуме
Что делать?
В приложениии 2 Правил написано:
Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ваша ссылка - http://virusinfo.info/showthread.php?t=6099 )
C:\WINDOWS\System32\00THotkey.exe - TOSHIBA THotkey;
C:\toshiba\ivp\ISM\pinger.exe - Toshiba Pinger(With TSysSMon support);
C:\WINDOWS\System32\TPWRTRAY.EXE - TOSHIBA Power Saver;
C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe - Conexant AccessRunner ADSL;
-pig оказался, как всегда прав
С уважением,
Alex Plutoff
А. ПЛАТОВ
И что с этим добром делать?
Ничего не делать, никакого ужаса нет. И, как я понимаю, с компьютером теперь все в порядке?
Уважаемый(ая) calambuuur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
