Показано с 1 по 20 из 20.

Есть подозрение, что компьютер вылечен не до конца. (заявка № 92026)

  1. #1
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23

    Есть подозрение, что компьютер вылечен не до конца.

    Началось с того, что сработала (во время «интернет-серфинга») Microsoft Security Essentials: были обнаружены и удалены Troyan:Win32/Meredrop и Troyan:Win32/Tofumanics.B.

    На следующий день при перезагрузке компьютера MSE обнаружила и удалила Troyan:Win32/Simda.gen!D, потом оказалось, что не открываются антивирусные сайты, и при наборе слова «HiJackThis» вылетает explorer (не internet explorer!). После запуска combofix и чистки реестра сайты стали открываться, зловредной деятельности не наблюдается. CureIt и AVPtool ничего относящегося к проблеме не обнаружили.

    Однако, настораживает присутствие в логах AVZ незапущенной службы с характерным названием «WDICA». Также, в папке temp был найден «вручную» файл, содержащий записи нажатых клавиш в браузерах. Понятно, что WDICA надо удалить. Но есть подозрение, что помимо неё ещё что-то осталось.
    Как это «что-то» вычислить?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

    WDICA удалять не надо.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    И лог ComboFix пришлите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Цитата Сообщение от thyrex Посмотреть сообщение
    И лог ComboFix пришлите
    — извиняюсь, а где его искать?
    У меня, похоже, ComboFix самоудалился сразу после проверки…

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Логов combofix по указанному по ссылке адресу нет. В корнях всех дисков вообще нет текстовых файлов с датой создания после заражения компьютера.

    Поиск файла ComboFix.txt по всему компьютеру результатов не дал.

    Скачанный сегодня ComboFix после запуска пишет:
    ComboFix cannot run when CA Anti-Virus is installed.
    It would be dangerous to continue.

    Please uninstall CA Anti-Virus.
    На компьютере из антивирусов установлена только Microsoft Security Essentials. На время запуска Combofix защита в реальном времени MSE отключена.

    В списке установленных программ CA Anti-Virus или чего-либо похожего нет.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Отчет GSI сделайте (ссылка в подписи) и сообщите нам ссылку на проанализированный отчет
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Попробуйте лог ComboFix сделать в безопасном режиме
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Во всех безопасных режимах (обычном, с сетевыми драйверами, с поддержкой командной строки) результат тот же: требует удаления CA Anti-Virus'а.

    Добавлено через 7 минут

    Сравнил размеры файлов у того ComboFix'а, который сейчас запускаю, и у того который запускал 15.11, предварительно переименовав в «c-fix.exe», — у c-fix.exe размер на 3 Кб меньше. Сейчас попробую его запустить.

    Добавлено через 17 минут

    Оказалось, что c-fix.exe — старая версия. При запуске требует обновления, либо предлагает запуститься в ограниченном режиме.
    При обновлении происходит то, что выше уже описано.
    В режиме ограниченной функциональности не запускал.
    Последний раз редактировалось baev; 22.11.2010 в 14:10. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Запустил отсюда:
    http://cainternetsecurity.net/KB/KD.aspx?KDId=1056
    — программы удаления.
    Сначала по ссылке «CA Internet Security Suite 2009» — после перезагрузки никаких изменений.
    Потом — «CA Internet Security Suite 2010/Version 7». После перезагрузки ComboFix наконец запустился. Не знаю, что помогло — запуск remove tool или то, что ComboFix сообщил о новой версии и обновился.

    Лог прилагаю.
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    f:\windows\system32\winsflte.dl1
    f:\windows\system32\winsflt.dl1
    Что за папки?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Цитата Сообщение от thyrex Посмотреть сообщение
    Что за папки?
    — пустые, аттрибуты — обычные.
    Время последнего изменения:
    22.11.10 16:14

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Удалите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Удалил.

    Добавлено через 29 минут

    Всё?
    Или ещё что-то?
    Последний раз редактировалось baev; 23.11.2010 в 00:19. Причина: Добавлено

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Больше придраться не к чему. Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Пока ничего «криминального» не наблюдается.

    Спасибо.

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,518
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    15.11.2010
    Сообщений
    10
    Вес репутации
    23
    Не знаю, на сколько это связано с проблемой:
    Цитата Сообщение от thyrex Посмотреть сообщение
    — скопировал из текста по ссылке «Combofix /Uninstall» (браузер IE8), попробовал вставить в поле «Открыть» на форме «Пуск->Выполнить».
    Получил сообщение от «JIT-отладчика Visual Studio» о том, что «Необработанное исключение win32 произошло в "explorer.exe [2972]"». После отмены отладки форма пропадает.

    Если пробовать вставлять сначала мышью, а потом (после отмены отладчика) по «Ctrl+V» (и наоборот: сначала по «Ctrl+V») ошибок не выдаётся, всё вставляется.

    То же самое происходит при попытке вставить и другие словосочетания — но не все, выявить закономерность не удалось.
    Из firefox вставляется без проблем. Похоже, дело в IE.
    Попробую после удаления Combofix установить IE заново.

    Добавлено через 1 час 2 минуты

    Удалил Combofix, переустановил IE, пока проблем не наблюдаю.

    Добавлено через 16 минут

    Не, проблемы всё-таки есть: не запускаются firefox и thunderbird.
    В процессах висят, но окошки не открываются.

    Добавлено через 1 час 18 минут

    Поскольку программы не запускались ни в безопасном режиме ни с пустыми профилями, пришёл к выводу, что дело в самих программах.

    Установка firefox поверх не помогла. Сравнение файлов с той же версией программы на другом компьютере показало, что часть файлов различается по содержанию (даже — при одинаковом размере). Например: freebl3.chk, softokn3.chk, nssdbm3.chk (в обеих программах). После замены файлов — заменял папки полностью, на случай, если дело в правах на файлы, — программы заработали.

    «Проблемные» файлы сохранил, нужны ли они для анализа?
    Последний раз редактировалось baev; 23.11.2010 в 22:49. Причина: Добавлено

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) baev, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 11
      Последнее сообщение: 22.10.2010, 01:49
    2. Ответов: 6
      Последнее сообщение: 31.05.2010, 19:05
    3. Не до конца вылечился
      От Alex T в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.07.2009, 01:41
    4. Помогите вылечить до конца
      От Anatoliy2008 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.03.2009, 17:09
    5. Не смог вылечить до конца
      От monia в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.11.2007, 15:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00391 seconds with 22 queries