cureit-beta нашла троян. Вроде вылечила, не удалила. После этого проверка сканером Dr.Web 4.44 через контекст не работает.
Начались проблемы с Проводником.
Установил заново бету Dr.Web 4.44 поверх имеющейся.
Обновился, перезагрузился... приехал...
Система грузится 5-7 мин., вместо 10 сек.
Рабочий стол появляется через 1 мин., панели быстрого запуска не стало, затем вообще пропала панель задач.
СпайдерМыла в трее тоже нет, хотя в процессах он есть. Много чего ещё нет.
В Диспетчере задач в столбце пользователи - пусто...
Звука нет, драйвер клавы не устанавливается (клава не пашет - она у меня с расш. функциями, и они не работают), при установке драйвера пишет, что не может получить доступ к процессу, и установка завершается.
Выложить требуемые логи AVZ не представляется возможным. При выполнении скрипта для этого раздела AVZ зависает на проверке файлов chm в папке C:\Program Files\Common Files\Microsoft Shared\OFFICE11
При попытке простого сканирования AVZ зависает на файле winlogon.
Смог сделать только лог HijackThis.
Проверка поражённого раздела из-под чистой системы (с другого жёсткого диска) сканером Dr.Web 4.44 с последними обновлениями ничего не выявляет. Всё чисто.
На чистой системе тоже начались проблемы с explorer: постоянно вылезает ошибка, создаётся файл Доктора Ватсона.
Прошу советов и помощи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Версию AVZ скачал 4.25, обновил базы.
На поражённой системе скрипты не выполняются, AVZ зависает.
Copy\Past не работает. Может батник выложите для запуска?
Сейчас проделываю всё сказанное для условно чистой системы, которая сейчас тоже начинает тормозить и слать Билу отчёты. Выкладываю проблемный файл. Пароль стандартный. Странно сейчас антивирь на него не ругается. Может вирь настолько хитрый?
Ниже логи для условно чистой системы. На заражённой ничего не могу поделать.
Последний раз редактировалось Макcим; 19.07.2007 в 12:56.
Удаление DrWeb на заражённой системе не удалось: Код ошибки -5003 : 0xffffec75
Сведения об ошибке:
>SetupNew\SetupDLL.cpp (711)
pAPPr.Web
PVENDORoctor Web, Ltd.
PGUID:BBE2F69C-4338-11D7-8F0C-00A0244F4E2D
$12.0.0.58849
@Windows XP Service Pack 2 (2600) BT_OTHER 376.22
Выкладываю пролемный файл. Пароль стандартный.
Последний раз редактировалось SergM; 19.07.2007 в 12:59.
Причина: Добавил файл
Даже этот лог нельзя получить?
да, на заражённой нельзя получить даже этот лог. Пробовал не раз.
Добавлено через 1 минуту
На будущие будет урок - нельзя ставить на зараженную машину бета-версии софта, тем более софта для лечения\защиты.
В том-то и дело, что бетка 4.44 ставилась и стояла на чистой машине.
Ставил заново её поверх для попытки устранения невозможности запуска сканера через контекстное меню.
Файлы с вирусами выкладывать сюда не буду больше. В своё время О. Зайцеву на этом форуме высылал на мыло экземпляр. Он добавлял в утилиту лечение. Поэтому и сейчас выложил, но, как оказалось, был не прав. Если надо будет его выслать, скажите куда и кому.
В том-то и дело, что бетка 4.44 ставилась и стояла на чистой машине.
На зараженную машину её ставить не следовало. бетка 4.44 оказалась для компьютера страшнее этого трояна
Сообщение от SergM
В своё время О. Зайцеву на этом форуме высылал на мыло экземпляр. Он добавлял в утилиту лечение. Поэтому и сейчас выложил, но, как оказалось, был не прав. Если надо будет его выслать, скажите куда и кому.
Олег принимает файлы здесь. Но этот отправлять не надо - я уже сделал за Вас.
Отвечаю на вопрос: ничего на заражённой системе AVZ выполнить не может, в т.ч. и http://virusinfo.info/showthread.php?t=10387
Мне, конечно, приятно, что ЛК теперь знает этот "мой" Narkozz crack и даже весьма поэтично его обозвала. Но и только... мне от этого ровно никакой пользы. Может всё же есть ещё способы что-то выполнить? Какой-нибудь .bat или нечто др.? Или действительно только переустановка ОС?
Ни чего не могу сделать, так как не знаю что поломалось в ОС. Для этого нужны логи, хотя подозреваю что случилось после Dr.Web'а. Вряд ли Backdoor мог такое устроить. Раз уж пользовались бетой, отправьте дампы в Dr.Web. Можно написать им в саппорт, может подскажут как вычистить с компа остатки их поделки. Выводы надеюсь для себя сделали.
DrWeb сильно всё перелопатил. Ничего не помогло. Реестр совсем не правится. Ничего не удаляется и не корректируется. Пришлось систему заново ставить. Спасибо всем за помощь.
Спасибо за сочувствие. Оно как нельзя к месту. Устанавливать несколько десятков рабочих программ среди которых есть 1-1.5 Гб, дополнительных утилит, кодеков…, некоторые крякать, некоторые русифицировать, настраивать их… Ну Вы понимаете.
До сих пор ещё ставлю и конца не видно. Теперь хватит – как только всё стабильно встанет, сразу Norton Ghost и 90% проблем не мои!
Теперь по теме. Я всё же склоняюсь к мнению Maxima, что виновата бета Доктора.
Мне кажется, это её инсталлятор кривой наделал после повторной установке поверх имеющейся. В реестре были чудеса, которых я никогда раньше не встречал – одинаковые ветви с именами 001, 002, полный запрет на любую правку и пр. …. На эти вещи – spidernt.exe –remove, spiderml.exe –remove, regsvr32.exe /u DRWSXTN.DLL винда никак не реагировала. AVZ зависала на winlogon и в некоторых действиях на др. файлах.
Файл Вам могу выслать, напишите куда. Будет интересно Ваше мнение. И всё же, как уже сказал Maxim, вряд ли троян мог наделать такого
Добавлено через 17 минут
Забыл ещё интересное про Доктора и этот вирус.
Сначала cureit-beta его как бы вылечила, не удалила. Потом Бета Доктора детектить перестала. Вчера вечером та же бета после обновления баз стала детектить. Отправил всё равно образец на анализ, через полчаса добавили ещё одну запись. Чудеса?
Последний раз редактировалось SergM; 21.07.2007 в 04:05.
Причина: Добавлено сообщение
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: