Готово.
Printable View
Готово.
В логах чисто. У вас установлен антивирус? Вы можете выполнить пункт 2 правил? [QUOTE]2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).[/QUOTE]
Проверил.
Что интересно: при выходе из защищенного режима снова появилось окошко имени Sample: мол, не отвечает - ожидаем завершения программы...
Что ж за зверь такой?!
А что если в AVZ установить драйвер AVZPM, перезагрузиться и посмотреть Диспетчером процессов AVZ? Еще можно перед запуском Диспетчера процессов выполнить стандартный скрипт #1 (антируткит). Попробуйте, авось что-то и вылезет наружу.
Интересно. В логах видна какая-то интеловская беспроводная карта. Она используется как- нибудь? Если нет, попробуйте отключить данное устройство и, попутно, остановить службу [code]O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe[/code]. И еще, на момент появления предложения о закрытии неотвечающей программы, в диспетчере задач ее не видно? В крайнем случае, попробуйте поймать эту таинственную программу [URL="http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx"]Process Explorer-ом[/URL] - он дает больше информации, чем стандартный диспетчер задач.
Скрипт выполнил, он где-то логи складывает? Они нужны?
Интеловская карта - это мой WiFi, используется по прямому назначению
:)
До остановки службы и проверки [URL="http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx"]Process Explorer-ом[/URL] не добрался - похоже, удалось отловить AVZ-ом: Sample присутствует в 2-х процессах; чтобы не переврать - посмотрите, плз, 2 принтскрина в аттаче.
Опа...
У меня, оказывается, 2 штуки [B]csrss.exe:[/B] один в System32, а второй - прямо в [B]Windows[/B]. На всякий случай, наверное...
Как его (второй) отстреливают правильно?
[QUOTE=SMajor;111205]Опа...
У меня, оказывается, 2 штуки [B]csrss.exe:[/B] один в System32, а второй - прямо в [B]Windows[/B]. На всякий случай, наверное...
Как его (второй) отстреливают правильно?[/QUOTE]
предварительно пришлите второй... (в правилах написано как)
Пришлите по правилам файл C:\WINDOWS\system32\ZCfgSvc.exe.
Скорее всего, это от вашего WiFi-адаптера, но проверить не помешает.
Попробуйте полностью деинсталлировать программное обеспечение этого WiFi, проверьте будет ли появляться при перезагрузке зависший Sample, потом установите WiFi обратно. Похоже это его глюк.
С:\WINDOWS\[B]csrss.exe[/B] отправил.
А вот со вторым файлом сложнее: добавляю в список C:\WINDOWS\system32\ZCfgSvc.exe, потом смотрю карантин, а там - [B]csrss.exe[/B]!
И как его туда загнать?
[B]С:\WINDOWS\csrss.exe - это пинч![/B]
Скрипт для удаления:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Но как же он зараза хитро прячется, в логах-то его нет!!
После скрипта сделайте новые логи, интересно ZCfgSvc.exe пропадет или нет?
В дополнение: пинч ворует пароли, поэтому имеет смысл поменять пароли на учетные записи пользователей, записи электронной почты, номера ICQ, итд.
И правда
[QUOTE]Complete scanning result of "avz00001.dta", received in VirusTotal at 05.22.2007, 10:02:01 (CET).
Antivirus Version Update Result
AntiVir 7.4.0.23 05.22.2007 TR/Agent.29961
Authentium 4.93.8 05.21.2007 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.997.0 05.21.2007 Win32 : Ldpinch-GH
BitDefender 7.2 05.22.2007 DeepScan:Generic.Malware.SFYdldldg.D0CB6F96
CAT-QuickHeal 9.00 05.21.2007 (Suspicious) - DNAScan
eSafe 7.0.15.0 05.21.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 05.22.2007 suspicious
F-Prot 4.3.2.48 05.21.2007 W32/new-malware!Maximus
F-Secure 6.70.13030.0 05.22.2007 LdPinch.JVR
Ikarus T3.1.1.7 05.22.2007 Trojan-Spy.Win32.Agent.DI
Norman 5.80.02 05.21.2007 LdPinch.JVR
Panda 9.0.0.4 05.21.2007 Trj/Ldpinch.AEQ
Sophos 4.17.0 05.21.2007 Mal/Basine-C
Sunbelt 2.2.907.0 05.17.2007 VIPRE.Suspicious
VBA32 3.12.0 05.21.2007 MalwareScope.Trojan-PSW.Pinch.42
Webwasher-Gateway 6.0.1 05.22.2007 Trojan.Agent.29961
Aditional Information
File size: 29961 bytes
MD5: d54368b0d7867ff2de9001c6877fb48e
SHA1: 261af0a5649191c57350a647588e6ebc0fd395e4
packers: FSG
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.[/QUOTE]
Скрипты выполнил, отправляю логи.
Кажется, срослось :P
После деинсталляции/инсталляции интеловских драйверов для WiFi Sample наконец исчез.
Что видно по логам, жить - будет?
Полная чистота и порядок :)
Спасибо огромное всем!
Что я должен?
Как ни странно, вашего "Спасибо" достаточно :)
Вы можете еще нам помочь вот так [url]http://virusinfo.info/showthread.php?t=3519[/url]
Закачал, 2 файла:
Файл сохранён как070522_145417_virusinfo_files_MAJOR_4652cbd9649a4.zipРазмер файла520040MD5a79202a409edb79c98f5715c2585e2d3
и
Файл сохранён как070522_145452_virus_4652cbfc4623e.zipРазмер файла520040MD5294f417b883d92903ac29dd1b8bad741
Еще раз огромное спасибо всем спасателям!
Удачи вам :D
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\csrss.exe - [B]Trojan-PSW.Win32.LdPinch.cah[/B] (DrWEB: Trojan.PWS.LDPinch.1780)[*] c:\\windows\\system32\\lqpdxgll.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ar[/B] (DrWEB: BackDoor.Iterator)[*] c:\\windows\\system32\\pmkji.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.js[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\urqpppp.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jp[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]