Вирус???

Printable View

19.05.2010, 21:04
dbnz

Вирус???

Не могу понять, есть ли вирус в системе или нет-dr.web ни чего не нашел, утилита Касперского тоже ничего серьезного(так немного мелочи во всяких кейгенах). Но есть подозрение что система че-то подхватила- во-первых скорость инета упала, а во-вторых у dr.web постоянно отключается модуль самозащиты который обратно включается при переустановке антивируса но не надолго. в чем может быть дело?
19.05.2010, 21:13
ARMA9000

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\КНИГИ\МАТЕМАТИКА\WinDjView-0.5\WinDjView-0.5-RU.htm','');
QuarantineFile('H:\ИГРЫ И ОБ ИГРАХ\26 игр типа Zuma\26 игр типа Zuma\26_mini_games\26 mini games\Keygen for Reflexive\keygen.exe','');
QuarantineFile('C:\Documents and Settings\DBNZ\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\f9133.SYS','');
QuarantineFile('C:\DOCUME~1\DBNZ\LOCALS~1\Temp\catchme.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cab32.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\02631.SYS','');
DeleteFile('C:\Documents and Settings\DBNZ\ctfmon.exe');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить. Что с проблемами?
19.05.2010, 22:22
dbnz

Компьютер перезагрузил. Карантин загрузил по красной ссылке. Логи повторил. по проблемам пока не скажу нужно время.
20.05.2010, 01:18
dbnz

Подозрение на RootKit

при сканировании системы утилитой avz, антивирус находит spcc.sys
(Перехватчик KernelMode). чтобы удалить его avz требует перезагрузиться. последующая перезагрузка проблему не устраняет и avz находит этот файл опять.сканирование системы утилитами dr.web и касперским результа не дали. и еще - после перезагрузки dr web постоянно находит по 2-3 вируса в системных папках. прошу вашей помощи. заранее благодарю.
20.05.2010, 02:59
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\f9133.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\cab32.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\02631.SYS','');
DeleteFile('C:\WINDOWS\system32\drivers\02631.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\cab32.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\f9133.SYS');
DeleteService('f9133');
DeleteService('catchme');
DeleteService('cab32');
DeleteService('02631');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=78854[/url]).
Сделайте новый лог syscheck (только п.2 раздела Диагностика).

[size="1"][color="#666686"][B][I]Добавлено через 20 секунд[/I][/B][/color][/size]

[QUOTE='dbnz;640399']после перезагрузки dr web постоянно находит по 2-3 вируса в системных папках[/QUOTE]
Что именно он находит?
20.05.2010, 13:14
dbnz

высылаю как просили. карантин пуст.
20.05.2010, 13:16
dbnz

проблемы остались
20.05.2010, 14:39
Bratez

В логе ничего плохого не видно.
[B]sp??.sys[/B] - это модуль от эмулятора CD.

DrWeb молчит?
20.05.2010, 18:05
dbnz

Dr.Web молчит. эмулятор Alcohol 120%, но он не запущен.(виртуальные диски пропали как только появились проблемы).
20.05.2010, 22:03
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('K:\autorun.inf');
DeleteFile('K:\seka\crnuizlatnu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
20.05.2010, 23:27
dbnz

Сделал как просили , высылаю лог.
22.05.2010, 13:06
AndreyKa

[QUOTE='dbnz;640399']перезагрузки dr web постоянно находит по 2-3 вируса в системных папках.[/QUOTE]Что за вирусы, в каких файлах?
Выполните в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
23.05.2010, 13:06
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\dbnz\ctfmon.exe - [B]P2P-Worm.Win32.Palevo.aipz[/B] ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:MalOb-AI [Cryp] )[*] k:\autorun.inf - [B]Trojan.Win32.AutoRun.ajf[/B] ( NOD32: INF/Autorun.B.Gen virus )[*] k:\seka\crnuizlatnu.exe - [B]P2P-Worm.Win32.Palevo.aipz[/B] ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:MalOb-AI [Cryp] )[/LIST][/LIST]