а что за процесс у меня wscntfy.exe
Добавлено через 2 минуты
проверил SHDOCVW.dll на Вирустотал 1/41:
Добавлено через 1 минутуКод:Symantec 20091.2.0.41 2010.02.11 Suspicious.Insight
MD5
File size: 946448 bytes
MD5 : 0356aac40bcefc2a5e9aabd6b1470d4d
SHA1 : 54d9cf4a353c8a348898a1353220a2092de880b8
SHA256: 64ec02c6780a620a488b65c4ee6cac6f1ef9bd82b6f29832e0 6ef268a76a227b
PEInfo: PE Structure information
Последний раз редактировалось steel-prom; 06.07.2010 в 10:11. Причина: Добавлено
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Этот нормальный.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
что то все равно блокирует Explorer, запуская его из диспетчера задач... и он сразу выгружается
C:\WINDOWS\system32\cmdow.exe удали его.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
удалил, не помогло
Добавлено через 2 часа 10 минут
в Безопасном режиме тоже самое, explorer блокируется..
Добавлено через 31 минуту
какие еще будут предположения - советы?
Последний раз редактировалось steel-prom; 06.07.2010 в 14:58. Причина: Добавлено
новые логи
Последний раз редактировалось steel-prom; 14.07.2010 в 16:44.
а то что в драйверах sptd.sys находится на второй строчке не странно?
и вот еще: C:\WINDOWS\system32\hnetcfg.dll
Добавлено через 32 секунды
а этот C:\WINDOWS\system32\Drivers\a348bus.sys при безопасной загрузки не желает грузится
Добавлено через 2 минуты
Файл сохранён как 100706_151524_virus_4c33104c5f633.zip
Размер файла 353534
MD5 7dbc096c212cb231ff98ed199558f06a
Последний раз редактировалось steel-prom; 06.07.2010 в 15:15. Причина: Добавлено
TdSSKiller проверься. Файл C:\WINDOWS\system32\drivers\atapi.sys проверь на ВТ.
Это - C:\WINDOWS\system32\drivers\sptd.sys от Даемона.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
C:\DOCUME~1\Admin\LOCALS~1\Temp\catchme.sys
вот он....?
Это драйввер комбофикса
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
чистоСообщение от PavelA
сопротивляется
может?0 bytes size received / Se ha recibido un archivo vacio
Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); SetServiceStart('atapi', 4); StopService('atapi'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Запустил Gmer, начинается сканирование и выходит ошибка
Последний раз редактировалось steel-prom; 14.07.2010 в 16:44.
IceSword тоже не дает запустить
Последний раз редактировалось steel-prom; 14.07.2010 в 16:44.
Запустил с Rescue Disc Kaspersky, во время проверки system32 программа вылетает... какойто файлик *.sys проверяется не дает
востановил explorer копированием с другой машины... GMER не запускается...
Добавлено через 1 минуту
IceSword запустил... на дисках была какая то пустая папка AVTORN.INF ее порезал
Последний раз редактировалось steel-prom; 09.07.2010 в 10:00. Причина: Добавлено
еще один ПК с такой же проблемой... началась после выполнения стандартного скрипта 3, и удаления папки Avtoran.INF в корне дисков, виной всему:
Код:C:\Program Files\USBDiskSecurity\USBGuard.exe >>>>> Trojan.Win32.Buzus.dtqd успешно удален Прямое чтение C:\WINDOWS\SoftwareDistribution\Download\add643cac30c40378e71415eca9acd29\BIT3B.tmp Автоматическая чистка следов удаленных в ходе лечения программ [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,USB Antivirus,C:\Program Files\USBDiskSecurity\USBGuard.exe [микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows\CurrentVersion\Run,USB Antivirus,C:\Program Files\USBDiskSecurity\USBGuard.exe
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
- c:\windows\system32\xshebcc.exe - Packed.Win32.Krap.gx ( DrWEB: Trojan.Packed.20343, BitDefender: Trojan.Generic.4126207, NOD32: Win32/Delf.PJG trojan )
Уважаемый(ая) steel-prom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
