Printable View
заплатки (если имеются в виду обновления безопасности от MS) стоят, С: не расшарен. я уже говорил что странно что второй компьютер жив и здоров - из этого я сделал бы вывод что вирус засел именно на компьютере.
пароля администратора нет, ведь я один пользователь. на втором несколько пользователей, и паролей тоже нет... и пока ничего... это если я правильно понимаю что речь идёт о том пароле что при запуске винды надо вводить
[quote=Muffler;93871][B]elangelo[/B],
AVZ -> Файл -> Выполнить скрипт:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\sdaemon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
RebootWindows(true);
end.
[/code]
После перезагрузки, пришлите по правилам файл [B]virusinfo_7725_quarantine.zip[/B][/quote]
выложил
Самое главное, что при подключении к администраторским сетевым ресурсам вашей машины (C$ - системная шара диска C) тому, кто захочет достучаться, не придётся подбирать пароль. Администратора, судя по всему, тоже не переименовывали - значит, угадывается достаточно легко.
Но, возможно, конечно, что сидит дроппер или загрузчик недетектируемый. Очень возможно.
тут есть что-то - ведь на втором компе юзеры переименованные
а если действительно что-то недетектируемое?
но для начала я переименую юзера
нет, учётная запись изначально была переименована. так что видимо загрузчик. и что с ним делать?
даже после защиты паролем снова появился вирус. при этом в логе spider'a содержатся подобные строки (привожу только часть):
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\ntuser.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk - доступ запрещен
29-01-2007 09:42:28 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log - доступ запрещен
из чего я мог бы сделать вывод что это и есть скрытый загрузчик тела вируса. может как-то посмотрите эти файлы? или просто скажете мне, можно ли их удалить и главное как? потому что на них стоит защита даже от просмотра.
да, а потом после этих строк начинаются строки о заражённых файлах
[B]Павел![/B]
я действительно использую tropical software - а именно PC Security. и что с ним делать? а потом вряд ли это просто программный конфликт если вирус действительно появляется.
В первых логах AVZ ругался именно на dll от PC Security. Скорее всего, именно эта программа и блокирует файлы, указанные в логе Dr.Web.
После лечения вируса Dr.Web, вполне возможно, PC Security поломалась.
Можно попробовать ее переустановить и заново настроить. См. цитату ниже - описание программы.
[CODE]'PC Security™ 5.1 is the ultimate in computer security, offering multiple locking systems for the Windows environment and internet. Lock files, monitor programs' activities, even detect intruders![/CODE]
[QUOTE=elangelo;93939]в логе spider'a содержатся подобные строки (привожу только часть):
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\LocalService\ntuser.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:22 [CL] C:\Documents and Settings\NetworkService\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\Documents and Settings\Дмитрий Коломацкий\ntuser.dat - доступ запрещен
29-01-2007 09:42:23 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk - доступ запрещен
29-01-2007 09:42:28 [CL] C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log - доступ запрещен[/QUOTE]
Это нормально. Файлы заблокированы самой системой. Их в статье MS даже рекомендуется исключать из антивирусной проверки, чтобы монитор работу не тормозил.
Ну ладно PC Security, но ведь вирус-то есть, перезагрузка из-за него и происходит... что ж с ним делать?
@elangelo Я же написал. Попробовать снести PC Security и попробовать поработать. Если ошибка исчезнет, то проблема м.б. в драйвере от этой программы, который висит в памяти. (файл winsec.sys в папке Drivers)
Да, еще когда появится BSOD списать цифры. По ним можно определить какой из драйверов врет.
как раз писал вам. снёс секьюрити, заодно regcleaner'ом почистил реестр. перезапустил комп - всё нормально вроде. началась вирусная атака (я следил как у спайдера растёт число) - 60 заражённых файлов на лету вылечил без зависания. так что вроде работает пока лучше, но вирус всё равно где-то есть, даже уже не знаю, может действительно кому в сети понравился именно этот комп.
цифры уже списывал
0x0000001D (driver_irql_not_less_or_equal), смотрел соответствующий форум, ничего не нашёл подходящего. после полного сноса секьюрити пока не появлялся. посмотрим. но вирус где-то жив похоже...
[QUOTE=elangelo;94023]как раз писал вам. снёс секьюрити, заодно regcleaner'ом почистил реестр. перезапустил комп - всё нормально вроде. началась вирусная атака (я следил как у спайдера растёт число) - 60 заражённых файлов на лету вылечил без зависания. так что вроде работает пока лучше, но вирус всё равно где-то есть, даже уже не знаю, может действительно кому в сети понравился именно этот комп.[/QUOTE]
Лог прикрепите, что бы видеть где эти файлы находилидь
проблема ещё была и в том что у моего thinkpad 600 я не могу добраться до продвинутых настроек BIOS. я думал, как советовал BSOD, отключить кэшинг и шэдоуинг. ну ладно
Файервалл включен? и пароль на вход в винды для администратора надо поставить.
BSOD перестал возникать? Значит, глючил драйвер PCSecurity.
Теперь надо закрыться файером и паролем.
с паролем не работает drweb
после удаления security спайдер начал успешно справляться, но вирус появлялся. в инете нашёл про утилиту msconfig.exe, запустил, обнаружил пару подозрительных процессов (один вообще был с пустым описанием), удалил - я уже перезагружался сам два раза и работаю в инете и с офисом часа три - ни одного заражённого файла пока не зарегистрировано. видимо это и был паразит, который теперь просто не подгружается при загрузке. жалко что они от возраста не умирают, лежит где-то по-прежнему, хотя и изолированный :)
если что, ещё напишу
большое-пребольшое Вам спасибо за помощь
а файер конечно стоит - я собственно потому сто лет назад и ставил PCSecurity потому что у винды как-то не было такой утилиты ограничивающей доступ программ в интернет, теперь с SP2 есть.
[QUOTE=elangelo;94067]с паролем не работает drweb[/QUOTE]
Это как?
driver_irql_not_less_or_equal - в принципе, этим иногда страдает Спайдер, в зависимости от конфигурации софта и железа. Правда, на XP лично не наблюдал, только на Windows 2000, прошедших трудный путь от SP2 до SP4 + Rollup1 (в том числе неправильную версию последнего).
дело в том что я при установке пароля указал защитить папки и файлы данного пользователя (теперь это уже не отключается). в результате запущенный в нормале доктор веб из другой записи то не видит. но я знаю это решаемо просто пути логов надо исправить, но вдруг ещё какой софт заглючит.
что до пресловутого BSOD то он после удаления секьюрити пока не появлялся. пару раз до этого бывал другой BSOD с жалобой конкретно на spider.sys
увы вирус появился снова, так что он сидит где-то в других процессах. BSOD выскакивает, когда я мешаю спайдеру лечить файлы на лету, или просто вирус блокирует что-то. так что дело не в самой по себе секьюрити.
буду признателен за дальнейшие советы, хотя непонятно, можно ли тут что ещё сделать
Надо новые логи, а то много чего поменялось.
здравствуйте
выкладываю логи
в этот раз все три выполнены при включенном инете и эксплорере, удалось захватить не удалённый вебом из-за нештатной перезагрузки заражённый файл, один из тех, что начинают появляться, как я понимаю.
спасибо
[ATTACH]6567[/ATTACH]
[ATTACH]6568[/ATTACH]
[ATTACH]6569[/ATTACH]