Здравствуйте!
Вчера случилось страшное - я открыла всего лишь один вроде бы безобидный сайт, а оттуда посыпалась куча вирусов, которые перехватывались вебом:
Я то, что могла лечила, что могла (временные файлы) удаляла. Посмотрев на лог, я подумала, что все вроде бы с вирусами мы успешно поборолись - по найденным вирусам были предприняты меры.
Но после этого с компьютером случилось странное - после загрузки виндоуз (но рабочий стол еще не полностью загрузился) стало выскакивать сообщение от anbmserv.exe Ошибка:
"Инструкция по адресу такому-то обратилась к памяти по адресу такому-то. Память не может быть "read". Ок- завершение приложения, Отмена - отладка приложения."
Компьютер стал тормозить, при открытии-закрытии приложений возникало то же сообщение об ошибке при обращении к памяти. А если нажмешь ОК - то компьютер вообще не загружается.
Выключаться нормально тоже не хочет - и кнопка выключения появляется медленно (не всегда можно ее дождаться), и потом все виснет на голубом экране (иногда сообщает, что эксплорер не может завершить работу и кто-то еще).
Я поискала в интернете и на сайте семантек нашла, что надо удалить registry entries:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Runtime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ip6fw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetDetect
Я удалила (не спрашивайте зачем ) первые две ветви (сохранив предыдущую версию реестра); нетдетект у меня не было.
Внутри этих ветвей были ссылки на файлы ip6fw.sys, runtime.sys. Я еще удалила и ветвь runtime2.
Но это совершенно никак не повлияло на работу компьютера. По-прежнему все так и виснет, а через какое-то время вообще перестает работать. Так что сижу в безопасном режиме.
Иногда доктор веб вылавливает вирус в 144.exe почему-то во временных файлах. Я его удаляю.
Потом нашла ваш форум и проверила все еще капсерским онлайн. Он нашел
C:\WINDOWS\144.exe Зараженный объект: Packed.Win32.Tibs.ai
Я его переименовала (убрала расширение) и переместила. Но веб все равно иногда его ловит во временных интернет-файлах, хотя я уже и по интернету не гуляю.
Посылаю файлы согласно вашим правилам. Все сделано в безопасном режиме, т.к. в обычном все виснет. И кажется, я сначала сделала скрипт сбора информации, а потом скрипт лечения.
Кстати, в безопасном режиме через какое-то время тоже начинает тормозить. Сейчас пишу в обычном режиме, но это пока не вызывала никаких программ.
Спасибо
PS. В процессе борьбы я забыла, что сменила режима веба с "оптимального" на "другой". Сейчас вернула оптимальный. Не тормозит, но проблемы с сообщением о памяти и с выключением остаются. А Outpost с начала борьбы еще жалуется на изменение файла C:\Windows\system 21\rsvp32_2.dll, и я не знаю что ему ответить - если блокировать, тогда интернет вообще не работает. Отключаю Outpost.
Последний раз редактировалось Alpine; 10.06.2007 в 16:40.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
MaXim,
Спасибо!
Сделала Ваш скрипт в безопасном режиме, т.к. в обычном AVZ как-то плохо идет.
Все хорошо перегрузилось в обычном режиме и сообщение об ошибке обращения к памяти не возникало.
Потом я начала делать скрипт лечения, поняла, что не сделала файл карантина, прервала выполнение скрипта (сохранила лог отдельно, если что), сделала файл карантина. Опять запустила файл скрипта, по пути выскочило сообщение от веба
C:\DOCUME~1\ANNA\LOCALS~1\Temp\avz_380_1.tmp - инфицирован Trojan.Spambot
Я нажала "выключить" (не знала, можно ли удалить, если это от AVZ) и компьютер стал выключаться, но до конца не смог. Но включился нормально в обычном режиме, снова запустила скрипт. Опять вылезло сообщение от веба, о том, что временный файл avz инфицирован тем же - нажала лечить.
Решила пока почитать ваш сайт, но тут он и эксплорер зависли (судя по тому, что проводник завис), но AVZ работала. Потом чудом перегрузились и запустила следующий скрипт.
Bratez, тоже спасибо, но по двум методам работать сложно
Я нажала "выключить" (не знала, можно ли удалить, если это от AVZ) и компьютер стал выключаться, но до конца не смог.
Антивирус на время проверки надо было отключить. Так быстрее и проблем меньше.
C:\DOCUME~1\ANNA\LOCALS~1\Temp\avz_380_1.tmp это временный файл. Удалить его можно было, но лучше было бы антивирус отключить.
AndreyKa,
Спасибо Я как-то просмотрела про карантинный файл.
Вроде загрузила, но не знаю, как понять, загрузился он или нет.
В следующий раз отключу антивирус - думала об этом, но в правилах такого вроде бы не было. Или я так хорошо читаю.
Файл карантина от вас не поступил.
Об закрытии антивирусной программы и др. написано в Правилах перед пунктом 8. Монитор DrWeb SpiderGuard закрыть не возможно (если он запущен в автоматическом режиме) поэтому его нужно отключить.
По присланным файлам:
C:\WINDOWS\system32\rsvp32_2.dll - Trojan.Win32.Pakes
C:\DOCUME~1\ANNA\LOCALS~1\Temp\winlogon.exe - Win32.Grum, Trojan-Proxy.Win32.Small.du
остальные чистые.
Если жалоб больше нет, можно считать, что компьютер вылечен.
Чтобы уменьшить шанс заражения советую на будущее :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
Сделайте следующее: http://virusinfo.info/showthread.php?t=3519 для помощи нам.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: