-
Junior Member
- Вес репутации
- 53
Аваст: "Слишком много идентичных электронных писем в определенное время"
Здравствуйте!
Проблема такова - при подключении к интернету Аваст выдаёт следующее:
Слишком много идентичных электронных писем в определенное время
Отправитель: VIAGRA Best Online Store <[email protected]>
Получатель: <[email protected]>
Тема: User satpro special 80% OFF
и так далее, в огромном количестве...
А также:
Обнаружен подозрительный файл методом эвристического анализа. Это может быть признаком инфицирования malware.
Имя файла: C:\WINDOWS\System32\Drivers\qdfttidt.sys
Тип: скрытые сервисы.
Мой NOD32 ничего не увидел, равно как и CureIt!. В основном, ранее были обнаружены Трояны. Ещё у меня есть Spybot - Search & Destroy. (К слову, не перебор ли у меня с антивирами, возможно ли такое некорректное соседство?)
P.S.Выполняя Правила, я не смогла запустить CureIt! в безопасном режиме через F8, выполнила скрипт в AVZ. Может, сделала что-то не так...
Помогите, пожалуйста, на вас последняя надежда...
Последний раз редактировалось Morgana; 23.12.2009 в 00:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузитесь с LiveCD и вручную удалите файл C:\WINDOWS\system32\Drivers\qdfttidt.sys
После этого сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Буду пробовать. Пока что ищу LiveCD...
Последний раз редактировалось Morgana; 23.12.2009 в 18:45.
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\qdfttidt');
QuarantineFile('C:\WINDOWS\system32\Drivers\qdfttidt.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\qdfttidt.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
To thyrex:
Вот что ещё:
1. При перезагрузке появляется сообщение:
Spybot-Найти и уничтожить обнаружил изменение, затрагивающее важную запись реестра.
Категория: System Startup user entry
Изменение: Value изменено
Запись: NoDriveTypeAutoRun
Старая дата: hex:91,00,00,00
Новая дата:hex:91,00,00
Разрешить или Запретить
При запрете окно выскакивает снова. Приходится разрешать.
2. При завершении работы закрываются какие-то неизвестные программы, а далее:
Инструкция обратилась по адресу……память не может быть «written»
Отладка Завершение
3. НОД32 обнаружил модифицированный Win32/Rootkit.Kryptik.AF троян
файл: C:\WINDOWS\TEMP\sig24F.tmp
Файл был перемещён антивиром в карантин.
С помощью LiveCD файл C:\WINDOWS\system32\Drivers\qdfttidt.sys всё-таки удалось удалить вручную.
После этого сообщения сканера почты Аваста перестали запускаться. Ура.
To AndreyKa:
Как раз сейчас собиралась делать новые логи - выполню Ваше задание.
Добавлено через 21 минуту
При выполнении скрипта комп не перезагрузился, а просто стал показывать заставку без иконок и всего прочего. Пришлось перезагрузить принудительно. При этом было написано, что скрипт выполнен правильно, но очевидно, в карантине будет какая-то ошибка. Всё равно присылать файлы? (В карантине 0 файлов).
Последний раз редактировалось Morgana; 25.12.2009 в 00:03.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
Сделала новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip).
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DeleteService('qdfttidt');
BC_DeleteSvc('qdfttidt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 53
Сделала. При загрузке по-прежнему всплывает:
Spybot-Найти и уничтожить обнаружил изменение, затрагивающее важную запись реестра.
Категория: System Startup user entry
Изменение: Value изменено
Запись: NoDriveTypeAutoRun
Старая дата: hex:91,00,00,00
Новая дата:hex:91,00,00
Разрешить или Запретить
-
Деинсталлируйте Spybot и не будет всплывать.
-
-
Junior Member
- Вес репутации
- 53
Спасибо! Так сейчас и сделаю!
Спасибо вам, ребята, огромное!!!
ЗЫ. Если можно, на всякий пожарный, эту тему, плиз, пока не закрывайте....мало ли что...)))