Показано с 1 по 7 из 7.

drweb пропустил два вируса (заявка № 67031)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2009
    Сообщений
    55
    Вес репутации
    56

    Exclamation drweb пропустил два вируса

    Товарищи лечащие, советующие и спасающие обратите пожалуйста на меня свои взоры. С ночи висит безответный запрос, чем я Вам не глянулся.
    Повторно прикладываю логи сюда.


    http://virusinfo.info/showthread.php?t=67017

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Простой вопрос: У Вас а/вирус обновляется? Просто в логах столько старых малваре, что просто жуть
    Профиксить:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hedl.qlo printer
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\navw32.exe,C:\WINDOWS\system32\ntos.exe,C:\WINDOWS\system32\sdra64.exe,
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\\?\globalroot\systemroot\system32\ccda_v8.exe','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\navw32.exe','');
     QuarantineFile('C:\Symantec Norton Utilities Pack 2006\setup\Support\windoc.exe','');
     BC_DeleteSvc('Winxd04');
     BC_DeleteSvc('Winbg84');
     BC_DeleteSvc('Winch27');
     BC_DeleteSvc('Winjo61');
     BC_DeleteSvc('Winkp15');
     BC_DeleteSvc('Winrw37');
     BC_DeleteSvc('Winaf38');
     BC_DeleteSvc('Wch62');
     BC_DeleteSvc('Vbg38');
     BC_DeleteSvc('Uae50');
     BC_DeleteSvc('Rwc05');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     BC_DeleteSvc('Pua84');
     BC_DeleteSvc('protect');
     BC_DeleteSvc('Jot51');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Chl50.sys','');
     BC_DeleteSvc('Chl50');
     DeleteService('srserviceWebClient');
     QuarantineFile('srserviceWebClient.sys','');
     BC_DeleteSvc('FCI');
     QuarantineFile('FCI.sys','');
     DeleteFile('FCI.sys');
     DeleteFile('srserviceWebClient.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Chl50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jot51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pua84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Rwc05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Uae50.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Vbg38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wch62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo61.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxd04.sys');
     DeleteFile('C:\WINDOWS\system32\navw32.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5O7\n-bss[2].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    прислать новые логи.
    Загрузить карантин по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    18.01.2009
    Сообщений
    55
    Вес репутации
    56
    Спасибо за ответ, антивирус обновляется.
    Стоит DrWeb v.4.44.
    Все то, что в system32 жило, ему не мешало.
    Логи прикрепил, карантин после последнего сканирования чист.

    Вчера при сканировании AVZ DrWeb и уж тут он постарался

    2-01-2010 15:54:45 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - infected with Trojan.Mylbot.6
    12-01-2010 15:54:58 [CL] (PID = 1500) C:\Program Files\avz4\Infected\2010-01-12\avz00001.dta - blocked
    12-01-2010 16:37:24 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - инфицирован Trojan.PWS.Banker.36485
    12-01-2010 16:37:29 [CL] (PID = 2296) C:\Program Files\avz4\Infected\2010-01-12\avz00002.dta - доступ к файлу запрещен
    12-01-2010 16:37:30 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - инфицирован Trojan.Inject.6510
    12-01-2010 16:37:31 [CL] (PID = 2296) C:\Program Files\avz4\Quarantine\2010-01-12\avz00001.dta - доступ к файлу запрещен



    О своих настройках DrWeb в логе пишет:

    3-01-2010 10:10:14 Started on \\ALEXANDR
    13-01-2010 10:10:14
    13-01-2010 10:10:14 Рабочий каталог: C:\Program Files\DrWeb
    13-01-2010 10:10:14 Режим загрузки: Автоматический, на старте системы
    13-01-2010 10:10:14 Режим проверки "на лету": Оптимальный
    13-01-2010 10:10:14 Расширенная защита: Включена
    13-01-2010 10:10:14 Эвристика: Включена
    13-01-2010 10:10:14 Объекты фильтруются: Нет фильтра, проверяются все файлы
    13-01-2010 10:10:14 Путь для карантина: C:\Program Files\DrWeb\infected.!!!
    13-01-2010 10:10:14 Проверка работающих программ и модулей: Включена
    13-01-2010 10:10:14 Проверка файлов в архивах: Выключена
    13-01-2010 10:10:14 Проверка почтовых файлов: Выключена
    13-01-2010 10:10:14 Проверка объектов в локальной сети: Выключена
    13-01-2010 10:10:14 Проверка объектов на съемных носителях: Включена
    13-01-2010 10:10:14 Защищать файл конфигурации Dr.Web: Выключена


    Может что поправить?
    Последний раз редактировалось danko; 13.01.2010 в 10:52. Причина: поведение DrWeb

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    В остальном чисто.

    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Trojan.PWS.Banker.36485 - пароли на сторону ушли. Надо менять.

    отключать надо на время работы с AVZ а/вирус. А то он весь карантин испортил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    18.01.2009
    Сообщений
    55
    Вес репутации
    56
    Еще раз спасибо.

    Цитата Сообщение от PavelA Посмотреть сообщение
    пароли на сторону ушли. Надо менять
    В нете пишут, что он крадет банковские пароли. Если платежными системами с машины не пользовались, то ущерба нет? Или что-то еще уволакивает?
    Последний раз редактировалось danko; 13.01.2010 в 18:35.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Поговорку про бережёного знаете, наверное...

  • Уважаемый(ая) danko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. drweb 6 пропустил локер
      От big_boss в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 21.01.2011, 23:53
    2. Ответов: 14
      Последнее сообщение: 20.08.2010, 08:20
    3. Dr.Web пропустил вирус
      От Baunty в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 17.03.2009, 01:51
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:20
    5. Ответов: 11
      Последнее сообщение: 05.03.2008, 19:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01156 seconds with 19 queries