Printable View
[ATTACH]6430[/ATTACH]
[ATTACH]6431[/ATTACH]
[ATTACH]6432[/ATTACH]
Здравствуйте!
Вирус Backdoor.Generic.1138 (выдаёт BSOD с ошибкой driver_irql_not_less_or_equal)
заранее признателен за помощь, DrWeb не справляется (между прочим лицензионный...), заражённые файлы появляются вновь.
спасибо
Дмитрий
1. в AVZ файл -- выполнить скрипт - скопировать текст в окно -- запустить
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('C:\WINDOWS\winwd.exe','');
DeleteFile('C:\WINDOWS\winwd.exe');
AutoFixSPI();
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин по Приложению 2 правил. Номер темы - 7725
здравствуйте,
после выполнения скрипта компьютер не загружается, даже в safe mode, так что прислать карантин не представляется возможным
Увы :(
Придётся ставить пиво знакомому компьютерщику. Ещё не всё потеряно, можно подключить диск к другому аппарату и посмотреть, что там творится.
Кстати, как именно выглядит "не загружается"?
с пятого раза загрузился
какие файлы присылать в карантине? там список задать надо...
зы. у меня на подобные случаи образы залиты, так что ничего. когда начались проблемы, я восстановил с образа и теперь не могу понять: он что, уже давно у меня в компе сидел? потому что тогда, после восстановления, проблема осталась.
так, понял. сейчас выложу
выложил
Файлы в карантине - чистые. С первого раза не попал. Возможно, из-за удаления winwd.exe и были проблемы с загрузкой РС.
Больно уж названия у этих файлов подозрительные.
В AVZ попробуй поискать netlock.dll. Если найдешь, отправь на проверку.
и попробуй там же выполнить скрипт:
begin
AutoFixSPI();
end.
файл закачал, скрипт выполнил (оно говорит просто "выполнено" и всё).
это что выходит что следов вируса нет? что-то даже не радуюсь. если опять заглючит придётся по новой всю проверку и три лога выкладывать...
Файл проверил - чистый. Только одно подозрение от VBA.
Ждите, еще кто-нибудь посмотрит.
Строчку с reset5 в HijackThis можно профиксить. Он с SP2 не нужен.
вот опять вылез вирус. я так сделаю: drweb-ом не буду чистить, сделаю сразу avz, тогда может в логе что будет. выложу три лога потом, вдруг получится
[B]elangelo[/B] только логи делайте с открытым окном браузера Internet Explorer.
попробую, но есть нюанс:
1. вот сейчас стал гнать avz - так при наличии подключения к сети (у меня выделенка) она не может закончить проверку - перезагружается явно из-за вируса, который не даёт себя удалить. если же отключить сетевуху (у меня ноут), то всё идёт нормально, но и вируса backdoor она уже не видит - только подозрения на троян в паре файлов. я исключаю вариант что вирус приходит по сети потому что у меня по свичу два компьютера на одном адресе, и на втором тьфу тьфу всё окей. так что он может сидеть где-то в сетевых настройках, потому что
2. я даже пытался удалить в системе сетевые устройства, думал, что все глюки из-за них. безуспешно! не удаляется ни драйвер сетевухи, ни драйвер ранее у меня установленного вай-фай (именно в его установочном файле и есть подозрение на троян), винда сообщает "возможно это устройство необходимо для загрузки"
так что я думаю что в этом вся проблема и как-то надо это вычистить, но как...
ну вот. короче первый лог с сетью не получится (а что толку от окна интернет эксплорера если он ничего не может отобразить), а вот остальные два лога сделаю с включённой сетью (правда, в первый раз тоже так же сделал - и вот, говорят, всё чисто)
[B]elangelo[/B], отключите интернет, откройте окно браузера и зделайте два последних лога из правил.
выкладываю логи. как всегда ничего подозрительного кроме подозрения на другой вирус в установочном файле wifi как я говорил (могу прислать карантин), кроме того во время выполнения второго скрипта получил в п.6 что "проверка TCP отменена пользователем" - это опять вирус шалит, чтобы его в сетевых компонентах не нашли??
1й лог сделан с окном IE без сети, последние с сетью и IE.
Ещё был бы признателен если бы кто-то прокомментировал то что я сказал выше про сеть.
Спасибо.
[ATTACH]6477[/ATTACH]
[ATTACH]6478[/ATTACH]
[ATTACH]6479[/ATTACH]
Интересный вопрос возник: где доктор Веб находит вирус?
Скрипт, что я посылал, отработал нормально. Лог стал выглядеть приличней.
и еще один момент - программы от Tropical Software сами ставили? М.б. в их настройках поковыряться.
в каталоге documents and settings. например: C:\Documents and Settings\All Users\Документы\SharedDocs.exe
спайдер даже залез в каталог avz и вылечил файл, лежавший в карантине)))
tropical software - не припомню. кажется нет.
так что же делать теперь вообще и с сетевухами в частности?
ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять
[B]elangelo[/B],
AVZ -> Файл -> Выполнить скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\sdaemon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
RebootWindows(true);
end.
[/CODE]
После перезагрузки, пришлите по правилам файл [B]virusinfo_7725_quarantine.zip[/B]
[QUOTE=elangelo;93813]ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять[/QUOTE]
Заплатки на систему все стоят? Пароль администратора случайно не пустой? Диск C не расшарен в сеть?