после запуска файла setup.exe с отключённым нодом, получил проблему в виде неудаляемого виря.
что можно сделать чтобы его удалить?
после запуска файла setup.exe с отключённым нодом, получил проблему в виде неудаляемого виря.
что можно сделать чтобы его удалить?
Последний раз редактировалось a-droo; 02.08.2010 в 15:42.
Для начала уберите вредоносный файл из вложений.
Olejah, удалил.
счас ещё в безопасном режиме сделаю логи на avz , тоже выложу.
Их надо сделать в обычном режиме, это возможно?
ок, счас просто решил попробовать cureit на безопасном прогнать, вобщем пишет тоже что и раньше
процесс в памяти C:\Windows\System32\svchost.exe:684 BackDoor.Tdss.565 Обезврежен
но после ребута нод опять ругается.
сейчас жду пока скрипт для сборки логов на AVZ закончит свою работу.(сейчас windows запущена в обычном режиме)
Давайте пежде чем дальше бороться, проверьтесь так - http://support.kaspersky.ru/faq/?qid=208636926, и приложите лог сюда -
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
вот все логи что я получил
Последний раз редактировалось a-droo; 02.08.2010 в 18:25.
решил поиском прошерстить папку windows
на наличие изменений после запуска того файла
нашёл такое
C:\Users\X3\AppData\Local\Microsoft\Internet Explorer\Recovery\Last Active\{FD8D26BB-9E03-11DF-99B4-DF7C730125B4}
C:\Users\X3\AppData\Local\Microsoft\Internet Explorer\Recovery\Last Active\RecoveryStore.{9E8B8A2C-8B9F-11DF-993A-0019DBCA3B50}
открываются 7-zip'ом
вот скрин содержимого
эксплорером не пользуюсь.
также после заражения при открытии страничек в опере стало дополнительно открывать какието непонятные адреса.
нод сразу их лочит и выскакивает окошко с примерно таким содержимым (каждый раз меняется)
в адресной строке оперы выскакивает такое
Последний раз редактировалось a-droo; 02.08.2010 в 18:41.
- Надо бы обновить базы у АВЗ.Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Лог TDSSKiller какой-то оборванный получился, повторите его.
вот TDSS и HiJack только что сделал.
а насчёт AVZ обновлятся он отказывался, пробовал тогда обновлятся, он отказывался с двух серверов.
сейчас обновился.
просканю ею по новой и выложу логи
avz logs
1. Выполните скрипт в AVZ:
2. Сделайте такой лог http://virusinfo.info/showthread.php?t=78057 в режиме ordinary.Код:begin SetAVZPMStatus(false); ExecuteStdScr(6); RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra,вот
CureIt все еще обнаруживает вирус?
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, да.
причём обнаруживает , пишет что обезврежен.
закрываю , потом опять откоываю cureit уже не находит(однако нод всё это время говорит что вирь есть.)
после ребута нод опять показывает, и куре ит тоже.
Пролечитесь с помощью Dr.Web LiveCD: http://www.freedrweb.com/livecd/?lng=ru
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, тут проблема с лив сиди
у меня стоит ОС на VHD , т.е. на виртуальном жёстком диске..
и получается при просмотре с других ОС кроме Вин7 такая штука - С диск располагается на Е диске в виде отельного файла с расширением .vhd
и просканировать С диск из вне не получится.
что делать в такой ситуации?
PS но я всё равно поставлю сканировать на ночь комп. может дрвеб умеет распаковывать этот vhd..
Добавлено через 9 часов 2 минуты
cure it .vhd сканировать отказывается.
Добавлено через 3 часа 6 минут
итак, путём размышлений по поводу этого бэкдора, вышла идея что он может находится в vhdmp.sys
так как это тотже atapi.sys(он для жёстких дисков IDE) но для VHD(virtual hard disk)
соответсвенно бэк туда и полез.
до этого сканировал несколькими утилитами, одна из них (TDSS remover esageLab или ComboFix уже не помню точно) просто положила систему.. восстановление с установочного диска , с помощью chkdsk толку не давала.
восстановил только с помощью пункта загрузка с последней удачной конфигурацией.
после этого сканил ещё несколькими утилитами, в результате некоторые писали что есть TDSS но найти не могли, а одна нашла и во время нахождения нод начал кричать на файл C:/windows/system32/drivers/vhdmp.sys что он заражён этим olmarik'om но файл удалить не может. а тот ремовер(http://www.secureblog.info/files/TDSSKiller.rar) предложил ребутнутся и удалить этот файл.
вобщем посмотрел свойства этого драйвера , и как оказалось он был изменён недавно.
после этого я заменил этот файл на оригинальный, и ребутнул комп.
результат таков
нод молчит
куреит молчит
VBAantirootkit скрытых драйверов не находит (а раньше были)
прикладываю лог
Последний раз редактировалось a-droo; 03.08.2010 в 14:57. Причина: Добавлено
Да, в логе антируткита никаких аномалий не видно.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) a-droo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.