При записи поста меня выкинуло (что-то типа "не дано Вам тут писать"...) После повторной авторизации в ветке оказалось уже ДВА моих поста...
Текст одного из них меняю на вот эти "объяснения"... :)
Printable View
При записи поста меня выкинуло (что-то типа "не дано Вам тут писать"...) После повторной авторизации в ветке оказалось уже ДВА моих поста...
Текст одного из них меняю на вот эти "объяснения"... :)
Здравствуйте!
Несколько дней назад скачал [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"][I]утилиту от DrWeb - CureIT![/I][/URL] и принялся чистить диски. Обнаружил много чего, но сейчас не об этом.
Обратил внимание, что при ее запуске в Local Settings/Temp создается папка RarSFX{n}, где n равно 0,1,2,3... В ней находится файл _start.exe, который по словам самой утилиты [B]уже[/B] заражен вирусом Win32.Virut.5!
Побочный эффект: скачанный ZIP-файл "от производителя" ( VDialer 3.9.8 ) после распаковки и запуска воспринимается, как зараженный и иногда (не всегда!) при просмотре TotalCmd'ером меняет свою длину!
"Увеличение" (когда оно есть) составляет 10752 байта.
Доп. информация.
1. Начинал я бороться с svchost.com в каталоге Windows...
2. AVZ (только что скачанная!) при запуске дает:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Вопрос: что присылать?
Пришлите avz.exe с изменённым crc через [URL="http://virusinfo.info/upload_virus.php?tid=15891"]эту ссылку[/URL]
[quote=zerocorporated;166407]Пришлите avz.exe с изменённым crc через [URL="http://virusinfo.info/upload_virus.php?tid=15891"]эту ссылку[/URL][/quote]
Заархивировал и отправил с паролем "virus", несмотря на то, что это сама AVZ. Если что не так - будьте добры, отпишите...
Файл сохранён как 080102_032418_avz_477b58426abb6.zip
Размер файла 696428
MD5 6342173391654689ceeae6622e8accf7
куда вы отправили ?
[quote=V_Bond;166435]куда вы отправили ?[/quote]
Как и было запрошено, через [URL="http://virusinfo.info/upload_virus.php?tid=15891"]эту ссылку[/URL]
присланный файл чистый ....
[quote=V_Bond;166451]присланный файл чистый ....[/quote]
:blink:
Может быть, проверите и drweb-cureit?
Кстати, если открыть его "Свойства", то в закладке "Комментарий" стоит:
>TempMode
>Silent=1
>Setup=_start.exe
:blink:
Все правильно, так и должно быть. Попробуйте выполнить полную проверку cureit в безопасном режиме.
Пришлите подозрительный _start.exe
[quote=Maxim;166489]Пришлите подозрительный _start.exe[/quote]
Держите!
Файл сохранён как
080102_063803__start_477b85ab0de84.zipРазмер файла74444MD594bdae9e8ae9f0dd339c6ef2e25292b4
_start.exe -W32/Virut.U (в архиве с паролем нужно присылать зловредов )
Значит, качайте CureIt на другом компьютере и пишите его на CD, затем лечите свой комп прямо с CD (обязательно [b]полную[/b] проверку, потом еще раз для контроля).
2Bratez[CODE]File _start.exe_ received on 01.02.2008 14:37:09 (CET)Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - W32/Virut.U
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Virus.Win32.Virut.n
Ikarus - - -
Kaspersky - - Virus.Win32.Virut.n
McAfee - - -
Microsoft - - Virus:Win32/Virut.K
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - W32/Virut.q
VBA32 - - -
VirusBuster - - Win32.Virut.G
Webwasher-Gateway - - Win32.Virut.U[/CODE]
качайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] делайте полную проверку ....
Я уже отправил в Dr.Web. Но вряд ли они быстро отреагируют.
Стоит обратить внимание, что при лечении файлового вируса, во время сканирования все программы должны быть закрыты, и компьютером пользоваться нельзя. Иначе уже вылеченные файлы могут быть заражены снова.
Вероятно лучше даже установить полную версию КАВ, и лечить при включенном мониторе.
Хотя, еще не факт что КАВ умеет лечить зараженные файлы, а не просто удалит их все.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
P.S. Вообще, наверное стоило бы написать инструкцию по лечению файловых вирусов в ЧАВО
KAV лечит ...
[quote=Alex_Goodwin;166486]Все правильно, так и должно быть. Попробуйте выполнить полную проверку cureit в безопасном режиме.[/quote]
По полученному результату я уже понял, что Вы неправы...:sad:
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Всем, принявшим участие в моей проблеме
-------------------------------------------
Я правильно понимаю, что проблема, описанная мной, Вам неизвестна и Вы пока обсуждаете её, не обращаясь ко мне?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote=V_Bond;166550]качайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] делайте полную проверку ....[/quote]
:sad:
[B][SIZE=2]Невозможно отобразить страницу...[/SIZE][/B]
ссылка работает .... попробуйте еще раз ;)
[quote=V_Bond;166570]ссылка работает .... попробуйте еще раз ;)[/quote]
У Вас - вполне возможно, но не у меня... Удивлен...
Выполните пожалуйста рекомендацию в посте №13
Версию CureIt можно скачать завтра (тогда точно добавят в базы:)) если нет желания ждать то дествительно лучше скачать KAV.
P.S. AVPTool уже умеет лечить фаловые вирусы? (то я немного отстал от жизни) если да то в чем вопрос скачать и пробовать лечить....:)
[quote=akoK;166572]Выполните пожалуйста рекомендацию в посте №13
Версию CureIt можно скачать завтра (тогда точно добавят в базы:))... [/quote]
Т.е., ждём "до завтра"?
Рекомендацию я, конечно, выполню (а что делать?), но, может быть, Вы сможете указать источник, где эта версия будет свободна от встроенных вирусов? :xmas:
Ни каких встроенных вирусов нет. Они заражают AVZ уже на Вашем компьютере. Сейчас выложу AVPTool.
[QUOTE=an2000;166573]Т.е., ждём "до завтра"?
Рекомендацию я, конечно, выполню (а что делать?), но, может быть, Вы сможете указать источник, где эта версия будет свободна от встроенных вирусов? :xmas:[/QUOTE]
[url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] на любой сдоровой машине с последующей записью на сд
Все таки попробуйте скачать [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] (у меня открылась страница:))
[quote=Maxim;166574]Ни каких встроенных вирусов нет. Они заражают AVZ уже на Вашем компьютере. Сейчас выложу AVPTool.[/quote]
Максим (?), вы внимательно читали? AVZ - это AVZ (проблема 1). Мы уже говорим о наличии _start.exe в drweb-cureit (проблема 2)!
Вот AVPTool [url]http://virusinfo.ifolder.ru/4809385[/url] Попробуйте скачать.
[quote=akoK;166576][URL]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/URL] на любой сдоровой машине с последующей записью на сд
Все таки попробуйте скачать [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] (у меня открылась страница:))[/quote]
Оттуда и качал...
Насчет AVPTool - насчет этого инструмента даже в этом форуме нет единого мнения. Траблов - куча! Ей-Богу, не хочется, потом еще и с ней разбираться...
P.S. Тем более, что и страница не открывается... "Это "ж-ж-ж-ж-ж" неспроста..." ©
Правильно, заражение происходит в момент распаковки drweb-cureit, вирус поражает файлы.
[quote=Maxim;166578]Вот AVPTool [URL]http://virusinfo.ifolder.ru/4809385[/URL] Попробуйте скачать.[/quote]
Скачал...
P.S. Нажал... :smile:
Теперь нужно просканировать в режиме Safe Mode.
[quote=Maxim;166639]Теперь нужно просканировать в режиме Safe Mode.[/quote]
Может быть, AVPTool надо было выложить не в виде установочного файла, а уже в виде папки Kaspersky Lab Tool? Я подозреваю, что когда её создаю, уже происходит что-то нехорошее...
Не получится. Он должен установиться.
[quote=Maxim;166667]Не получится. Он должен установиться.[/quote]
Тогда, похоже, помочь он мне не сможет. Зря качал... :sad:
[QUOTE=an2000;166673]Тогда, похоже, помочь он мне не сможет. Зря качал... :sad:[/QUOTE]
кто вам такое сказал ? ... устанавливайте ..
[quote=V_Bond;166674]кто вам такое сказал ? ... устанавливайте ..[/quote]
Дык... Что же будет? Когда я его устанавливаю, он уже заражается и т.д... Зараженный drweb-cureit сказал, что "лечит" Win32.Virut.5 и поубивал файлы с Win32.Loader, этот "лечит" Win32.Virut.5 и находит уже Нешту...:mad:
в AVPTool есть самозащита ...
[QUOTE=an2000;166577]Мы уже говорим о наличии _start.exe в drweb-cureit (проблема 2)![/QUOTE]
А в чём проблема? Если в самом наличии, то файл и должен там быть. Это запускалка CureIt.
[quote=V_Bond;166674]кто вам такое сказал ? ... устанавливайте ..[/quote]
Установил. Гонял с 2-х ночи по сейчас... :wink_3:
AVPTool сказал, что вычистил всё (?!), но одна (две?) проблемы осталась/-лись.
1. Постоянно говорит, что C:\Windows\ Explorer.exe заражен Win32.Virut.n, но "будет вылечен при перезапуске компьютера". Сколько не перезапускал - и под своим именем, и под Администратором; и в безопасном режиме, и в обычном - проблема остается.
2. При входе НЕ под Администратором, говорит, что неисправна rundll32 (предлагает отправить данные в M$).
Подскажете что-нибудь?
Explorer.exe - пришлите по правилам ...