он умер :-(

Printable View

12.03.2009, 23:51
baslik

он умер :-(

C моим компьютером, возможно, произошла история описанная
в статье
"Буткит: вызов 2008". По крайней мере очень похоже. Только события
развивались по другому сценарию:
При удалении фалов папки C:\WINDOWS\Temp утилитой ССleaner,
Антивирус
Касперского определил (до этого молчал) некоторые файлы как
вирусы,
попытался удалить и вроде что-то удалил, а что не смог
предложил удалить в процессе перезагрузки ОС, что я и
сделал. После загрузки файлы восстановились и процесс
повторился. На третий раз у меня отключились функции
Касперского с приставкой "Анти-" без возможности
включения, а потом и сам Каспеский перестал краснеть.
Последующие восстановления, переустановки дали тот же
результат: не краснеет и, соответственно, не работает.

Оставил этот винт в покое. Взял другой, установил ОС, поставил
Касперского, обновил, включил защиту на максимум, удаление без
запросов. С него проверил предидущий, что-то нашел, удалил.
Они восстановились и при попытке вновь запустить антивирус на
больном винте - никаких результатов.

Далее:
Отцепил больной винт, проверил новый и прицепил 3-ий (там у меня просто
файлы хранятся). При попытке полного копирования 3-его жесткого диска
(чтобы потом отформатировать на всякий случай) на новый, на нем (на
новом) образовалась еще одна папка C:\WINDOWS "0" большего объема, а в
C:\WINDOWS\Temp опять какие-то подозрительные файлы.

P.S.
Версия Касперского kav6.0.3.837_winwksru.
Базы свежайшие, обновлял несколько раз в день.
13.03.2009, 00:08
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteService('3d271aaf');
QuarantineFile('C:\WINDOWS\System32\drivers\3d271aaf.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\3d271aaf.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('3d271aaf');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
13.03.2009, 20:54
baslik

все сделал

раньше не мог, работал
13.03.2009, 21:13
Гриша

Карантин где?

В логах чисто...
13.03.2009, 21:48
baslik

какие фийлы слать? или автоматом?
13.03.2009, 21:51
V_Bond

перечитайте приложение 3 правил
13.03.2009, 22:01
baslik

спасибо, прочитал, был один файл, отправил
14.03.2009, 10:54
Гриша

setupapi.dll - [B]Trojan-PSW.Win32.Agent.mgp[/B] (удален)
14.03.2009, 11:13
baslik

привет
Каспер устоновился, обновляю, буду проверять.
C:\WINDOWS\Temp\hsperfdata_SYSTEM и файлы в ней (вот один 2984, второй временно пропал) - постоянно возрождается и просто удалить не получается
14.03.2009, 11:22
Гриша

Это от Java...
15.03.2009, 11:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\setupapi.dll - [B]Trojan-PSW.Win32.Agent.mgp[/B]( BitDefender: MemScan:Trojan.PWS.Tupai.A )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]