Показано с 1 по 19 из 19.

Вирус убил Доктора Вэба (заявка № 13744)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62

    Question Вирус убил Доктора Вэба

    Буквально вчера напрочь УБИЛСЯ Dr.4.33. Ежедневное обновление баз Dr.Update6.
    Как это было: проверил на вирусы несколько архивов (zip/rar) закачаные ослом - ВСЁ ОК!!! Распаковываю, захожу в архив, запускаю экзешник и тут началось ... В Макстоне начали открываться бесконечные окна ...
    Ясень пень - вирус. Проверяю Вебом теже уже разорхивированные папки. В окошке где информируется о вирусах показан один файл drweb32w.exe (экзешник Др.Вэба) и написано что-то типа невозможно прочесть файл (или файл испорчен; непомню). И так два раза. Кароче, после перезагрузки. Мало того, что вирус сидел в системе, он напрочь удалил все экзешники из папки Др. Веба. А доктору ваще было наплевать - ни одного сообщения. Да ещё не мог установить ни 4.33, ни 4.44. Экзешники просто блокировались.
    После прочистки сисемы Autorun, Trojan Remover, CureIt!, AVZ, были "подчищены"/заблокированы в реестре ряд автозагружаемых файлов не имеющих подписи и со странными названиями, а также удалён вирус System32\Drivers\hidr.*. Затем удалось поставить Dr.Web 4.44, но Spider отказывается работать и на нём стоит крестик. В службах, как раньше в версии 4.33, Spider не наблюдается. Хочется понять нормально ли это или его по прежнему блокирует вирус. В программе Autoruns в строке HKLM\System\CurrentControlSet\Services виден постоянно меняющийся сервис находящийся по адресу \system32\drivers\*.sys, с генерируемым после каждой перезагрузки именем.

    Пока пишу, готовлю логи ...
    Последний раз редактировалось ZAZAZOO; 31.10.2007 в 23:03.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Вот мои логи
    Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    "D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" - файл пришли.
    Найти через AVZ, добавить в карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Visiting Helper Репутация
    Регистрация
    18.03.2007
    Адрес
    г.Новокузнецк
    Сообщений
    44
    Вес репутации
    63
    В дополнение к уже сказаному. У Вас наверняка был файловый вирус. Много системных файлов не проходят проверку целостности. CureIt не всегда корректно лечит некоторые вирусы. Иногда некоторые исполняемые файлы после лечения не запускаются. Ваши проблемы могут быть из-за этого. Сделайте следующее:
    1. Возьмите диск с которого Вы устанавливали операционную систему и вставте его в привод компакт дисков.

    2. Нажмите кнопку ПУСК -> Выполнить. В появившееся окно введите следующую команду - sfc /scannow

    Это нужно для восстановления девственной чистоты файлов windows.
    Все будет хорошо!!!

  6. #5
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Цитата Сообщение от PavelA Посмотреть сообщение
    "D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" - файл пришли.
    Найти через AVZ, добавить в карантин.
    У меня нет папки D:\Program Files\Security\DrWeb\ . Всё удалено, а установка Dr.Web и Dr.Update была в новую папку.

    Добавлено через 16 минут

    Цитата Сообщение от SSDas Посмотреть сообщение
    ... CureIt не всегда корректно лечит некоторые вирусы. Иногда некоторые исполняемые файлы после лечения не запускаются. Ваши проблемы могут быть из-за этого. ...
    Это нужно для восстановления девственной чистоты файлов windows.
    Я честно говоря немного шокирован таким советом ....

    Во первых, я не писал, что лечил какие то системные файлы, а только удалял новые.

    Во вторых, как можно советовать восстановить файлы из дистрибутива, если после установки была сделана куча критических (и не очень) обновлений Windows, и многие системные файлы просто заменены на более новые?
    Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:35. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Я сказал же: искать через AVZ.
    Этот файл виден в логе HijackThis. Можно конечно просто профиксить эту строчку.
    Будем фиксить:
    Код:
    O4 - HKCU\..\Run: [drupdate] "D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" -autohttp
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Забыл добавить. Сегодня запустил Spider Guard, каким то непонятным мне ручным способом. Через меню управление ...

    Добавлено через 58 секунд

    Этот файл виден в логе HijackThis.
    Строка с таким адресом была в реестре. При этом указывалось (file not found: drupdate.exe) Я её удалил.
    Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:47. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Просишь о Помощи, а лечишься сам. Что у тебя сейчас происходит на машине я не знаю. Больше советов давать не буду.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Могу прислать новые логи. Для понятности.

    Добавлено через 5 минут

    "Спасение утопающих дело рук самих утопающих."

    Давай без обид...

    1. Я не буду сидеть сложа руки и ждать помощи.
    2. Действие вируса мешающее работе было остановлено.
    3. Проблема, как я писал выше, остаётся в генерируемом файле или генерируемой строке реестра относящейся к службам. Она не удаляется из реестра.
    4. Не вежливо вот взять и кинуть человека, который хоть что то сам делает вместе с тобой.

    Не моя вина в том, что HijackThis указывает на несуществующий файл и при этом не видит ту генерируемую строку реестра.
    Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:56. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Тогда что же вы хотите от нас, если лечитесь сами?
    Я солидарен с Павлом.

  12. #11
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Прикрепляю данные из AUTORUNS. C генерируемой строкой реестра.
    Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.

  13. #12
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Вообще то именно ВАМ я доверяю как специалистам по борьбе с вирусами. За ВАШУ помощь ВАМ огромное спасибо!!!
    Я не знаю и малой доли того, что ВЫ знаете по этой теме.
    Но, понимая что у ВАС могут быть свои дела, а мне надо продолжать БЕЗОПАСНО работать на компьютере, чуть ли не круглосуточно, я пробую делать "маленькие шажочки" в сторону БЕЗОПАСНОСТИ работы моей системы. ЭТО МОЖНО ПОНЯТЬ???

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    "Шажочки "по личной инициативе пожалуйста без нас Все "Шажочки" только по просьбе хелпера .

    Добавлено через 8 минут

    Делать заново логи + специальный лог (http://virusinfo.info/showthread.php?t=10387 ) в безопасном режиме.
    P.S.Если опять будет самодеятельность- тему закрою ;-)
    Последний раз редактировалось drongo; 01.11.2007 в 19:22. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Новые логи после всех изменений. (avz_sysinfo.zip получен в обычном режиме, т.к. в безопасном режиме вылетает "синий экран" с ошибкой STOP: 0x0000007B (0xF7C4E524, 0xC0000034, 0x00000000, 0x00000000)
    Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    http://support.microsoft.com/kb/324103/ru- по вашей ошибке.
    1. выполнить второй пункт правил именно как указано, а не как вам вздумаеться ;-) .((возможно дрвеб его знает, так как вирус его не взлюбил.))
    2.Выполнить скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\WINDOWS\system32\nwiz.exe','');
     QuarantineFile('D:\WINDOWS\system32\stobject.dll','');
     QuarantineFile('D:\WINDOWS\system32\cscui.dll','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\ENTECH.sys','');
     QuarantineFile('D:\WINDOWS\system32\mstask.dll','');
     QuarantineFile('D:\WINDOWS\system32\COMRes.dll','');
     QuarantineFile('d:\windows\explorer.exe','');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(9);
    ExecuteRepair(12);
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    прислать карантин согласно приложению 3 правил, будем думать дальше
    P.S.мысли вслух :
    Возможно, если ничего не придумаем - то воспользоваться предложением SSDas, обновить потом виндоус.
    ну и на десерт возможно чинить MBR.
    Последний раз редактировалось drongo; 01.11.2007 в 22:13.

  17. #16
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Файлы карантина выслал.
    В безопасный режим так и не могу зайти, т. к. причин может быть несколько, как рассказывают на сайте Микрософта, их достаточно трудно проверить.
    Поэтому в обыном режиме сделал проверку Доктором Вэбом. Новых вирусов он не нашёл, однако, что интересно, в конце проверки (или при закрытии программы) вылезло окно, в котором говорилось, что Spider Guard обнаружил попытку изменения конфигурации Dr.Web
    Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    cureit записать на что-то типа Bart-Pe (http://www.nu2.nu/pebuilder/) и просканировать загрузившись с этого диска ( в баёсе поставить загрузку с него) Делать диск Bart-Pe с чистого компа, с вашего думаю будет бесполезно. Вирус хорошо прижился у вас.AVZ не заточен под класические вирусы, я посоветуюсь с колегами. ID вирусного процесса - дрвеб определил - может это и поможет ;-)

    Добавлено через 3 часа 23 минуты

    Пришёл ответ от лаба, присланные файлы чистые.
    Последний раз редактировалось drongo; 02.11.2007 в 14:11. Причина: Добавлено

  19. #18
    Junior Member Репутация
    Регистрация
    27.06.2007
    Сообщений
    31
    Вес репутации
    62
    Любопытный момент выявленный с помощью AVZ "Исследование системы" после очередного сканированя Dr.Web при появлении окошка Spider Guard:
    Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Вообще-то антивирусы отключает полностью перед созданием логов. А то весело может быть, как в вашем случае

  • Уважаемый(ая) ZAZAZOO, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Доктора, посмотрите, на хвосты
      От danko в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 24.04.2009, 21:46
    2. ссылка на непонятного доктора
      От CandyMAN в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 08:46
    3. странное поведение доктора ватсона...
      От cedecede в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.01.2009, 13:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00640 seconds with 19 queries