Здравствуйте, Знатоки!
Либо вышла новая модификация, либо где-то не дорабатывают KAV с доктором...
Стоит drweb ent suite - не поймал.
Сканировался в безопасном и с livecd, cureit + KAV removal tool - ничего :O
Вирус живет.
Спасайте..
Printable View
Здравствуйте, Знатоки!
Либо вышла новая модификация, либо где-то не дорабатывают KAV с доктором...
Стоит drweb ent suite - не поймал.
Сканировался в безопасном и с livecd, cureit + KAV removal tool - ничего :O
Вирус живет.
Спасайте..
Уважаемый(ая) [B]lawpin[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp','');
DeleteFile('C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp');
RegSearch('HKLM', '', 'espE8B9.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Спасибо за ответ, но этого явно недостаточно.. :(
В модулях пространства ядра постоянно висит некоторый файл sp??.sys (? - переменные буквы, меняются после перезагрузки). Этого товарища выловить не получается :censored:
Сейчас сделаю новые логи и прикреплю.
Карантин добавлен.
[QUOTE='lawpin;801074']В модулях пространства ядра постоянно висит некоторый файл sp??.sys[/QUOTE]Это не вредоносный файл.
не буду спорить, но это не sptd.sys
в инет пока не выпускаю, жду вердикта.
Извините, я кое-что упустил в предидущей рекомендации.
Выполните скрипт в AVZ:
[CODE]begin
RegSearch('HKLM', '', 'espE8B9.tmp');
SaveLog(GetAVZDirectory+'avz.log');
end.[/CODE]
И приложите файл avz.log из папки AVZ к следующему сообщению.
Судя по тому, что последний скрипт был выполнен после лечения и упоминания в реестре остались, лечение было безуспешным, да?
Дело в том что пути C:\DOCUME~1\xxx\LOCALS~1\Temp\espE8B9.tmp в системе нет, темп был удален еще вчера. Сейчас полностью удалил профиль xxx, как неиспользуемый.
[QUOTE='lawpin;801183']лечение было безуспешным[/QUOTE]
avz.log приложите, тогда и узнаем.
дико извиняюсь, добавил в прошлое сообщение. в реестре хвосты остались.
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Print\Providers\313BF988');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet003\Control\Print\Providers\313BF988');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Print\Providers\313BF988');
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте повторные логи.
последние логи
Чисто, что с проблемой?
Проблема на месте, баннера нет, но страницы прогружаются с середины html кода.. видимо что то пытается внести изменения :furious3:
мозилла показывает html обрезки
IE пишет что недоступен сайт..
А вот спустя пару минут попыток хождения по инету - вылез баннер :censored:
сейчас добавлю логи
сейчас пришлось в особо извращенной вырезать блок с ненавистным баннером в мозилле при помощи ADblock..
но жить с этой тварью очень не хочется.
логи в приложении
всё настолько безнадёжно? :(
Выполните следующее:
Запустите AVZ, кликните [B]сервис - поиск файлов на диске[/B].
[U]В открывшемся окне установите следующие параметры:[/U]
Область поиска: [B]выберите диск C:
[/B]Имя файла (или маска): [B]*.dll[/B]
Дата изменения (поставте галочку): диапазон. Укажите последний месяц.
Поставьте галочки перед: [B]Исключить файлы, известные AVZ как системные и безопасные.[/B]
Нажмите пуск и выполните поиск файлов. Отметьте найденные файлы и кликните "[B]копировать в карантин[/B]".
Пришлите карантин по правилам.
Файл сохранён как 110623_074247_quarantine_4e02ee770b457.zip
Получилось 25м архива, обновлялась java.
Насколько я знаю, вирусы уже давно используют практику сметы атрибутов даты.
[QUOTE='lawpin;801336']Получилось 25м архива, обновлялась java.
Насколько я знаю, вирусы уже давно используют практику сметы атрибутов даты.[/QUOTE]25 нормально. Такую тактику используют далеко не все ВП.
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
Среди присланных файлов вредоносных нет. Баннер во всех браузерах?
во всех что стоят, IE8 + Mozilla 5.0