Показано с 1 по 12 из 12.

После борьбы с вирусами проблемы с памятью? (заявка № 10294)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39

    Thumbs up После борьбы с вирусами проблемы с памятью?

    Здравствуйте!
    Вчера случилось страшное - я открыла всего лишь один вроде бы безобидный сайт, а оттуда посыпалась куча вирусов, которые перехватывались вебом:

    09-06-2007 15:38:40 [CL] C:\Documents and Settings\ANNA\Local Settings\Temporary Internet Files\Content.IE5\K5AJ096Z\mail[1].exe - инфицирован Trojan.EmailSpy
    09-06-2007 15:38:40 [CL] C:\Documents and Settings\ANNA\Рабочий стол\1.exe - инфицирован Trojan.EmailSpy
    09-06-2007 15:38:40 [CL] C:\WINDOWS\system32\ctfmon.exe - инфицирован Win32.Grum
    09-06-2007 15:38:53 [CL] C:\Documents and Settings\ANNA\Local Settings\Temporary Internet Files\Content.IE5\K5AJ096Z\mail[1].exe - удален
    09-06-2007 15:39:07 [CL] C:\Documents and Settings\ANNA\Рабочий стол\1.exe - удален
    09-06-2007 15:39:11 [CL] C:\WINDOWS\System32\drivers\ip6fw.sys - инфицирован BackDoor.Bulknet
    09-06-2007 15:39:22 [CL] C:\WINDOWS\system32\ctfmon.exe - исцелен
    09-06-2007 15:39:33 [CL] C:\WINDOWS\System32\drivers\ip6fw.sys - исцелен
    09-06-2007 15:39:33 [CL] C:\WINDOWS\System32\drivers\runtime.sys - инфицирован BackDoor.Bulknet
    09-06-2007 15:39:36 [CL] C:\WINDOWS\System32\drivers\runtime.sys - исцелен
    09-06-2007 15:39:48 [CL] C:\DOCUME~1\ANNA\LOCALS~1\Temp\6129359.exe - инфицирован Trojan.NtRootKit.248
    09-06-2007 15:40:03 [CL] C:\DOCUME~1\ANNA\LOCALS~1\Temp\6129359.exe - исцелен
    09-06-2007 15:40:03 [CL] C:\WINDOWS\System32\drivers\runtime2.sys - инфицирован BackDoor.Bulknet
    09-06-2007 15:40:08 [CL] C:\WINDOWS\System32\drivers\runtime2.sys - исцелен

    Я то, что могла лечила, что могла (временные файлы) удаляла. Посмотрев на лог, я подумала, что все вроде бы с вирусами мы успешно поборолись - по найденным вирусам были предприняты меры.

    Но после этого с компьютером случилось странное - после загрузки виндоуз (но рабочий стол еще не полностью загрузился) стало выскакивать сообщение от anbmserv.exe Ошибка:
    "Инструкция по адресу такому-то обратилась к памяти по адресу такому-то. Память не может быть "read". Ок- завершение приложения, Отмена - отладка приложения."

    Компьютер стал тормозить, при открытии-закрытии приложений возникало то же сообщение об ошибке при обращении к памяти. А если нажмешь ОК - то компьютер вообще не загружается.
    Выключаться нормально тоже не хочет - и кнопка выключения появляется медленно (не всегда можно ее дождаться), и потом все виснет на голубом экране (иногда сообщает, что эксплорер не может завершить работу и кто-то еще).

    Я поискала в интернете и на сайте семантек нашла, что надо удалить registry entries:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Runtime
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ip6fw
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetDetect

    Я удалила (не спрашивайте зачем ) первые две ветви (сохранив предыдущую версию реестра); нетдетект у меня не было.
    Внутри этих ветвей были ссылки на файлы ip6fw.sys, runtime.sys. Я еще удалила и ветвь runtime2.

    Но это совершенно никак не повлияло на работу компьютера. По-прежнему все так и виснет, а через какое-то время вообще перестает работать. Так что сижу в безопасном режиме.
    Иногда доктор веб вылавливает вирус в 144.exe почему-то во временных файлах. Я его удаляю.
    Потом нашла ваш форум и проверила все еще капсерским онлайн. Он нашел
    C:\WINDOWS\144.exe Зараженный объект: Packed.Win32.Tibs.ai
    Я его переименовала (убрала расширение) и переместила. Но веб все равно иногда его ловит во временных интернет-файлах, хотя я уже и по интернету не гуляю.
    Посылаю файлы согласно вашим правилам. Все сделано в безопасном режиме, т.к. в обычном все виснет. И кажется, я сначала сделала скрипт сбора информации, а потом скрипт лечения.
    Кстати, в безопасном режиме через какое-то время тоже начинает тормозить. Сейчас пишу в обычном режиме, но это пока не вызывала никаких программ.
    Спасибо

    PS. В процессе борьбы я забыла, что сменила режима веба с "оптимального" на "другой". Сейчас вернула оптимальный. Не тормозит, но проблемы с сообщением о памяти и с выключением остаются. А Outpost с начала борьбы еще жалуется на изменение файла C:\Windows\system 21\rsvp32_2.dll, и я не знаю что ему ответить - если блокировать, тогда интернет вообще не работает. Отключаю Outpost.
    Вложения Вложения
    Последний раз редактировалось Alpine; 10.06.2007 в 15:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\System32\Check.exe','');
     QuarantineFile('C:\WINDOWS\system32\wfxsnt40.exe','');
     QuarantineFile('C:\DOCUME~1\ANNA\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\rsvp32_2.dll','');
     DeleteFile('C:\WINDOWS\system32\rsvp32_2.dll');
     DeleteFile('C:\DOCUME~1\ANNA\LOCALS~1\Temp\winlogon.exe');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(14);
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи. Напишите мне в личку адрес сайта, с которого произошло заражение.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.

  4. #3
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39
    MaXim,
    Спасибо!
    Сделала Ваш скрипт в безопасном режиме, т.к. в обычном AVZ как-то плохо идет.
    Все хорошо перегрузилось в обычном режиме и сообщение об ошибке обращения к памяти не возникало.
    Потом я начала делать скрипт лечения, поняла, что не сделала файл карантина, прервала выполнение скрипта (сохранила лог отдельно, если что), сделала файл карантина. Опять запустила файл скрипта, по пути выскочило сообщение от веба
    C:\DOCUME~1\ANNA\LOCALS~1\Temp\avz_380_1.tmp - инфицирован Trojan.Spambot
    Я нажала "выключить" (не знала, можно ли удалить, если это от AVZ) и компьютер стал выключаться, но до конца не смог. Но включился нормально в обычном режиме, снова запустила скрипт. Опять вылезло сообщение от веба, о том, что временный файл avz инфицирован тем же - нажала лечить.
    Решила пока почитать ваш сайт, но тут он и эксплорер зависли (судя по тому, что проводник завис), но AVZ работала. Потом чудом перегрузились и запустила следующий скрипт.

    Bratez, тоже спасибо, но по двум методам работать сложно
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    сделала файл карантина.
    Загрузите его по Правилам см. Приложение 3.
    Я нажала "выключить" (не знала, можно ли удалить, если это от AVZ) и компьютер стал выключаться, но до конца не смог.
    Антивирус на время проверки надо было отключить. Так быстрее и проблем меньше.
    C:\DOCUME~1\ANNA\LOCALS~1\Temp\avz_380_1.tmp это временный файл. Удалить его можно было, но лучше было бы антивирус отключить.

  6. #5
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39
    AndreyKa,
    Спасибо Я как-то просмотрела про карантинный файл.
    Вроде загрузила, но не знаю, как понять, загрузился он или нет.
    В следующий раз отключу антивирус - думала об этом, но в правилах такого вроде бы не было. Или я так хорошо читаю.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Файл карантина от вас не поступил.
    Об закрытии антивирусной программы и др. написано в Правилах перед пунктом 8. Монитор DrWeb SpiderGuard закрыть не возможно (если он запущен в автоматическом режиме) поэтому его нужно отключить.

  8. #7
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39
    Загрузила

    А читать, видимо, совсем разучилась - особенно то, что написано большими красными буквами. Так пыталась сосредоточиться на остальном

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    По присланным файлам:
    C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Win32.Pakes
    C:\DOCUME~1\ANNA\LOCALS~1\Temp\winlogon.exe - Win32.Grum, Trojan-Proxy.Win32.Small.du
    остальные чистые.
    Если жалоб больше нет, можно считать, что компьютер вылечен.

  10. #9
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39
    А веб-то их проглядел, получается.

    Спасибо огромное!
    Вроде и правда чудеса прекратились, правда я этот компьютер почти не использую пока - вот сейчас буду наблюдать

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Чтобы уменьшить шанс заражения советую на будущее :
    1) работать за компьютером из под ограниченного пользователя.
    2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    Сделайте следующее: http://virusinfo.info/showthread.php?t=3519 для помощи нам.

  12. #11
    Junior Member Репутация
    Регистрация
    10.06.2007
    Сообщений
    9
    Вес репутации
    39
    Спасибо, попробую!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\anna\\locals~1\\temp\\winlogon.exe - Trojan-Proxy.Win32.Puma.ki (DrWEB: Win32.Grum)
      2. c:\\windows\\system32\\rsvp32_2.dll - Trojan.Win32.Pakes.ts (DrWEB: Trojan.Packed.153)


  • Уважаемый(ая) Alpine, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблемы с памятью и klpclst.dat
      От Cynistic в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 20.03.2012, 21:17
    2. Проблемы с оперативной памятью
      От Andromegas в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 06.11.2011, 00:51
    3. Ответов: 4
      Последнее сообщение: 13.10.2009, 21:59
    4. Метод борьбы с компьютерными вирусами
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 21
      Последнее сообщение: 31.07.2007, 16:35
    5. Ответов: 0
      Последнее сообщение: 29.06.2006, 13:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00177 seconds with 17 queries