-
Вложений: 3
Левый taskmgr
Появляется левый менеджер задач. То есть в C:\Documents and Settings\username\ появляется taskmgr.exe (вернее как такового файла там не видно), на который появляется ссылка в реестре, он ставится на автозапуск и на запуск по ctrl+alt+del. AVZ почему-то не определяет этот файл как вирус... возможно это остаток от какого-то другого вируса. Самое интересное, что я этот файл удаляю (и все известные мне следы от него соответственно), все отлично работает, на следющий запуск тоже все ок, однако через некоторое время снова появляется эта гадость... Подскажите плз как избавиться... :)
-
@FMC
закачайте ещё лог Hijackthis, pls.
-
где лог от hijack this ?
логи делались при удалённом "левом" taskmgr ?
-
Лог hijack this прикрепил... лог syscure делался при удаленном, но во время его выполнения как раз вылезла эта гадость
-
@FMC
Конкретно проблемы не вижу, но для того АВЗ и хорош :).
Выполните скрипт:
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS.1\Screen Task.scr','');
QuarantineFile('\WINDOWS.1\system32\DRIVERS\PCIIDEX.SYS','');
QuarantineFile('\WINDOWS.1\system32\DRIVERS\WMILIB.SYS','');
QuarantineFile('\??\C:\WINDOWS.1\system32\drivers\xinstall.sys','');
QuarantineFile('\??\C:\WINDOWS.1\system32\drivers\amdfix.sys','');
QuarantineFile('\WINDOWS.1\system32\hal.dll','');
QuarantineFile('\WINDOWS.1\System32\ntdll.dll','');
QuarantineFile('\WINDOWS.1\system32\ntoskrnl.exe','');
end.[/CODE]после чего карантин закачайте по правилам.
-
При выполнении скрипта вот такой протокол получился:
[CODE]Файл "C:\WINDOWS.1\Screen Task.scr" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS.1\Screen Task.scr
Ошибка карантина файла "C:\WINDOWS.1\1\system32\DRIVERS\PCIIDEX.SYS", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS.1\1\system32\DRIVERS\WMILIB.SYS", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "\??\C:\WINDOWS.1\system32\drivers\xinstall.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Файл "C:\WINDOWS.1\system32\drivers\xinstall.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS.1\system32\drivers\xinstall.sys
Ошибка карантина файла "\??\C:\WINDOWS.1\system32\drivers\amdfix.sys", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Файл "C:\WINDOWS.1\system32\drivers\amdfix.sys" успешно помещен в карантин
Выполнен карантин файла C:\WINDOWS.1\system32\drivers\amdfix.sys
Ошибка карантина файла "C:\WINDOWS.1\1\system32\hal.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS.1\1\System32\ntdll.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS.1\1\system32\ntoskrnl.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка[/CODE]
Поэтому прикрепляю то, что получилось... ;)
-
[QUOTE]Поэтому прикрепляю то, что получилось... [/QUOTE]
Для тех, кто в море сообщаем: карантин нужно [B]закачать[/B] [URL="http://virusinfo.info/upload_virus.php?tid=10037"]по правилам[/URL] а [B]не прикреплять[/B] к сообщению ;)
-
-
Очистите ПК от мусора: [url]http://virusinfo.info/showthread.php?goto=newpost&t=10025[/url]
Выполните скрипт
[QUOTE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS.1\Screen Task.scr');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/QUOTE]
и сделаете после перезагрузки новые логи и подвесьте их + boot_clr.log в топике.
-
Вложений: 4
Done, прикрепляю)
спасибо за помощь ;)
-
[QUOTE=FMC;112394]Done, прикрепляю)
спасибо за помощь ;)[/QUOTE]Скажите, а Вы прогоняли CureIt перед началом лечения? И какой Ваш штатный АВ? Придётся ручками подчищать. [URL="http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FVB%2ECLN&VSect=Sn"]Тут всё очень подробно[/URL], но по-английски. Если не поймёте - переведу.
-
CureIt не прогонял... Антивируса на данный момент никакого нет... :-[
Был старый Касперский, но ничего кроме пожирания ресурсов он не делал (а обновлять базы за 3 года - занятие неблагодарное по-моему)... поэтому его я удалил. С английским благо у меня нормально, так что разберусь :) Спасибо большое за помощь :)
-
[QUOTE=FMC;112465]CureIt не прогонял...Антивируса на данный момент никакого нет [/QUOTE]
Супер! А в правилах что написано?
[QUOTE]1. Если у Вас есть антивирус - обновите его базы и проверьте компьютер.
2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему в безопасном режиме.
[/QUOTE]
[QUOTE]Был старый Касперский, но ничего кроме пожирания ресурсов он не делал [/QUOTE]
А вот это действительно аргумент - за три года (анти)вирусы действительно так изменились, что базы обновлять действительно бессмысленно: Нужно [B]программу[/B] обновить. т.к. движок устарел и, даже при наличии свежих баз, не в состоянии детектировать и убивать новых зловредов.
-
Хех... прогнал CureIt... как и ожидалось, ничего он не нашел)
Похоже зараза пропала)) во всяком случае, давно не появлялась))
/me постучал три раза по дереву и сплюнул через левое плечо ;)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.1\\screen task.scr - [B]Virus.Win32.VB.cd[/B] (DrWEB: Win32.HLLW.Besink)[/LIST][/LIST]
Page generated in 0.00728 seconds with 10 queries