-
Junior Member
- Вес репутации
- 62
Снова Trojan.Winlock.179
Доброй ночи.
Подцепил Trojan.Winlock.179
Странно, но это произошло при активном, обновленном, лицензионном DRWEB и на системе со всеми обновлениями...
С помощью ДрВебовского разблокировщика ввел код, и пролечил систему и CureIt и AVPTool.
CureIt убил несколько файлов (в TEMP и system32\user32.exe), но в системе остался ovjp.fbo, который не ловили антивирусы, и который появлялся в реестре (модицицирован запуск проводника).
Этот файл был детектирован как вирус на www.virustotal.com и я его удалил руками. больше не видел проблем.
НО после перезагрузки вылез розовый порнобанер и так же захотел денег. опять разблокировал и руками поудалял несколько exe-шников из TEMP..
Больше антивирусы ничего не находят, система не блокируется, НО:
не понятно откуда появился последний блокировщик и не получается сделать virusinfo_syscure.zip - AVZ молча закрывается при сканировании диска (и в безопасном режиме тоже).
Высылаю те логи, которые получились. посмотрите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
DeleteFile('-.exe');
DeleteFile('C:\WINDOWS\system32\KB905474\wgasetup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 62
Спасибо за помощь.
Указанных в скрипте файлов не наблюдается в системе.
Выполнил указанный скрипт: компьютер перегрузился, но в карантине ничего не попало. с помощью поиска файлов AVZ эти файлы так же не находятся.
И ничего не изменилось в системе. Лог virusinfo_syscure.zip по прежднему не создается: закрывается программа.
Что делать, подскажите пожалуйста.
Через полчаса работы ноута (чтение Вашего сайта) система встает колом: дисковой активности не наблюдается, но между программами не переключиться... помогите...
Добавлено через 4 часа 30 минут
Можно ли что-то сказать по этим логам? (скрипт ничего не сделал, т.к. нет таких файлов)
АВЗ молча закрывается на сканировании файлов как в сайф моде, так и в нормальном режиме при попытке сделать virusinfo_syscure.zip
компьютер подпормаживает неслабо..
сейчас проверяю с диска vba32rescue...
подскажите, что можно сделать... как найти, кто не дает работать АВЗ?
Последний раз редактировалось r403; 24.01.2010 в 15:26.
Причина: Добавлено
-
Сообщение от
r403
скрипт ничего не сделал, т.к. нет таких файлов
В скрипте не только файловые операции!
Сделайте новый лог по п.2 раздела Диагностика.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Спасибо, за внимание и помощь.
диагностику по п.2 сделал.
до того, как АВЗ закрывается при сканировании системы ( по 1 п. диагностики), сохранил лог работы. вдруг он поможет...
Последний раз редактировалось r403; 24.01.2010 в 18:35.
Причина: добавил лог
-
C:\Program Files\Microsoft\RATTV3\cswa.exe - пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 62
Не срослось...
в ответ я получил следующее
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\Microsoft\RATTV3\cswa.exe)
Карантин с использованием прямого чтения - ошибка
папки C:\Program Files\Microsoft\ в системе нет....
в карантине что-то было после предыдущего сканирования (вроде нового не появилось) на всякий случай отсылаю
карантин отослан:
Файл сохранён как 100124_190445_virus_4b5c6f9d42841.zip
Размер файла 1046776
MD5 8cae7a8721b14217dddac40479281536
Последний раз редактировалось r403; 24.01.2010 в 19:05.
Причина: добавил карантин
-
выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Microsoft\RATTV3\cswa.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 62
выполнил скрипт. пергрузился ноут. первый лог опять не делается АВЗ тихонько закрывается. прегрузился, сделал 2 и 3 лог.
Странно, 5 мин назад, при первой попытку послать логи браузер упал при попытке прикрепить hijackthis.log - переименовал его в 1.txt -- пробую еще раз.: теперь получилось
Спасите пожалуйста...
-
Junior Member
- Вес репутации
- 62
Посоветуйте, пожалуйста, еще чего-нибудь... АВЗ падает и система тормозит...
-
Junior Member
- Вес репутации
- 62
На всякий случай сделал лог Malwarebytes Antimalware..
ни чего не лечил.
Проверил те файлы, которые в логе отмечены как зараженные на http://www.virustotal.com/ - про
C:\WINDOWS\Debug\UserMode\explorer.exe сказали что нет вируса,
а
C:\WINDOWS\system32\serauth1.dll и
C:\WINDOWS\system32\serauth2.dll - нулевого размера...
про "зараженные" параметры и кючи реестра я не знаю
Помогите, пожалуйста
Добавление:
Посмотрел с помощью sysinternals Filemon на чем падает AVZ, когда делает первый лог.
На совершенно безабидных файлах (как мне кажется). Для эксперимента запустил тот АВЗ, который идет одним файлом temp.pif ("полиморфный"?)
Последние строчки, которые попали в Filemon, прежде чем АВЗ молча закрылся следующее
temp.pif: READ C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Offset: 977698 Length: 4
temp.pif: READ C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Offset: 977702 Length: 55
temp.pif: QUERY INFORMATION C:\Program Files\Common Files\SPSSInc\collaboration_client\repository-client.jar SUCCESS Length: 1059375
Я так и не понял, читая система или нет.... вроде все работает, но АВЗ падает на 1-ом логе и не получается сделать лог Grem-ом: система зависает, все еле-еле двигается, без видимой диковой активности....
Последний раз редактировалось r403; 25.01.2010 в 02:04.
-
Junior Member
- Вес репутации
- 62
Удалось сделать все необходимые логи.
Т.к. выяснилось, что АВЗ закрывался про анализе программы SPSS (как на файлах дистрибутива, так на файлах установленной программы), то я перенес на время эти файлы на сетевой диск и логи собрались.
Там в карантин попал Norton Ghost 10.rar с вирусом внутри - в этом файле нет проблем - он не нужен, - удалил его.
Посмотрите, пожалуйста, чистая ли система?
Сейчас из жалоб только жуткий тормаз при попытке собрать лог gmer-мом или GetSystemInfo...
Заранее СПАСИБО.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-