-
Junior Member
- Вес репутации
- 62
Вирус убил Доктора Вэба
Буквально вчера напрочь УБИЛСЯ Dr.4.33. Ежедневное обновление баз Dr.Update6.
Как это было: проверил на вирусы несколько архивов (zip/rar) закачаные ослом - ВСЁ ОК!!! Распаковываю, захожу в архив, запускаю экзешник и тут началось ... В Макстоне начали открываться бесконечные окна ...
Ясень пень - вирус. Проверяю Вебом теже уже разорхивированные папки. В окошке где информируется о вирусах показан один файл drweb32w.exe (экзешник Др.Вэба) и написано что-то типа невозможно прочесть файл (или файл испорчен; непомню). И так два раза. Кароче, после перезагрузки. Мало того, что вирус сидел в системе, он напрочь удалил все экзешники из папки Др. Веба. А доктору ваще было наплевать - ни одного сообщения. Да ещё не мог установить ни 4.33, ни 4.44. Экзешники просто блокировались.
После прочистки сисемы Autorun, Trojan Remover, CureIt!, AVZ, были "подчищены"/заблокированы в реестре ряд автозагружаемых файлов не имеющих подписи и со странными названиями, а также удалён вирус System32\Drivers\hidr.*. Затем удалось поставить Dr.Web 4.44, но Spider отказывается работать и на нём стоит крестик. В службах, как раньше в версии 4.33, Spider не наблюдается. Хочется понять нормально ли это или его по прежнему блокирует вирус. В программе Autoruns в строке HKLM\System\CurrentControlSet\Services виден постоянно меняющийся сервис находящийся по адресу \system32\drivers\*.sys, с генерируемым после каждой перезагрузки именем.
Пока пишу, готовлю логи ...
Последний раз редактировалось ZAZAZOO; 31.10.2007 в 23:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.
-
"D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" - файл пришли.
Найти через AVZ, добавить в карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Visiting Helper
- Вес репутации
- 63
В дополнение к уже сказаному. У Вас наверняка был файловый вирус. Много системных файлов не проходят проверку целостности. CureIt не всегда корректно лечит некоторые вирусы. Иногда некоторые исполняемые файлы после лечения не запускаются. Ваши проблемы могут быть из-за этого. Сделайте следующее:
1. Возьмите диск с которого Вы устанавливали операционную систему и вставте его в привод компакт дисков.
2. Нажмите кнопку ПУСК -> Выполнить. В появившееся окно введите следующую команду - sfc /scannow
Это нужно для восстановления девственной чистоты файлов windows.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
"D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" - файл пришли.
Найти через AVZ, добавить в карантин.
У меня нет папки D:\Program Files\Security\DrWeb\ . Всё удалено, а установка Dr.Web и Dr.Update была в новую папку.
Добавлено через 16 минут
Сообщение от
SSDas
... CureIt не всегда корректно лечит некоторые вирусы. Иногда некоторые исполняемые файлы после лечения не запускаются. Ваши проблемы могут быть из-за этого. ...
Это нужно для восстановления девственной чистоты файлов windows.
Я честно говоря немного шокирован таким советом ....
Во первых, я не писал, что лечил какие то системные файлы, а только удалял новые.
Во вторых, как можно советовать восстановить файлы из дистрибутива, если после установки была сделана куча критических (и не очень) обновлений Windows, и многие системные файлы просто заменены на более новые?
Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:35.
Причина: Добавлено
-
Я сказал же: искать через AVZ.
Этот файл виден в логе HijackThis. Можно конечно просто профиксить эту строчку.
Будем фиксить:
Код:
O4 - HKCU\..\Run: [drupdate] "D:\Program Files\Security\DrWeb\DrUpdate\drupdate.exe" -autohttp
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Забыл добавить. Сегодня запустил Spider Guard, каким то непонятным мне ручным способом. Через меню управление ...
Добавлено через 58 секунд
Этот файл виден в логе HijackThis.
Строка с таким адресом была в реестре. При этом указывалось (file not found: drupdate.exe) Я её удалил.
Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:47.
Причина: Добавлено
-
Просишь о Помощи, а лечишься сам. Что у тебя сейчас происходит на машине я не знаю. Больше советов давать не буду.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Могу прислать новые логи. Для понятности.
Добавлено через 5 минут
"Спасение утопающих дело рук самих утопающих."
Давай без обид...
1. Я не буду сидеть сложа руки и ждать помощи.
2. Действие вируса мешающее работе было остановлено.
3. Проблема, как я писал выше, остаётся в генерируемом файле или генерируемой строке реестра относящейся к службам. Она не удаляется из реестра.
4. Не вежливо вот взять и кинуть человека, который хоть что то сам делает вместе с тобой.
Не моя вина в том, что HijackThis указывает на несуществующий файл и при этом не видит ту генерируемую строку реестра.
Последний раз редактировалось ZAZAZOO; 01.11.2007 в 18:56.
Причина: Добавлено
-
Тогда что же вы хотите от нас, если лечитесь сами?
Я солидарен с Павлом.
-
-
Junior Member
- Вес репутации
- 62
Прикрепляю данные из AUTORUNS. C генерируемой строкой реестра.
Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.
-
Junior Member
- Вес репутации
- 62
Вообще то именно ВАМ я доверяю как специалистам по борьбе с вирусами. За ВАШУ помощь ВАМ огромное спасибо!!!
Я не знаю и малой доли того, что ВЫ знаете по этой теме.
Но, понимая что у ВАС могут быть свои дела, а мне надо продолжать БЕЗОПАСНО работать на компьютере, чуть ли не круглосуточно, я пробую делать "маленькие шажочки" в сторону БЕЗОПАСНОСТИ работы моей системы. ЭТО МОЖНО ПОНЯТЬ???
-
"Шажочки "по личной инициативе пожалуйста без нас Все "Шажочки" только по просьбе хелпера .
Добавлено через 8 минут
Делать заново логи + специальный лог (http://virusinfo.info/showthread.php?t=10387 ) в безопасном режиме.
P.S.Если опять будет самодеятельность- тему закрою ;-)
Последний раз редактировалось drongo; 01.11.2007 в 19:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
Новые логи после всех изменений. (avz_sysinfo.zip получен в обычном режиме, т.к. в безопасном режиме вылетает "синий экран" с ошибкой STOP: 0x0000007B (0xF7C4E524, 0xC0000034, 0x00000000, 0x00000000)
Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.
-
http://support.microsoft.com/kb/324103/ru- по вашей ошибке.
1. выполнить второй пункт правил именно как указано, а не как вам вздумаеться ;-) .((возможно дрвеб его знает, так как вирус его не взлюбил.))
2.Выполнить скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\nwiz.exe','');
QuarantineFile('D:\WINDOWS\system32\stobject.dll','');
QuarantineFile('D:\WINDOWS\system32\cscui.dll','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\ENTECH.sys','');
QuarantineFile('D:\WINDOWS\system32\mstask.dll','');
QuarantineFile('D:\WINDOWS\system32\COMRes.dll','');
QuarantineFile('d:\windows\explorer.exe','');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
прислать карантин согласно приложению 3 правил, будем думать дальше
P.S.мысли вслух :
Возможно, если ничего не придумаем - то воспользоваться предложением SSDas, обновить потом виндоус.
ну и на десерт возможно чинить MBR.
Последний раз редактировалось drongo; 01.11.2007 в 22:13.
-
-
Junior Member
- Вес репутации
- 62
Файлы карантина выслал.
В безопасный режим так и не могу зайти, т. к. причин может быть несколько, как рассказывают на сайте Микрософта, их достаточно трудно проверить.
Поэтому в обыном режиме сделал проверку Доктором Вэбом. Новых вирусов он не нашёл, однако, что интересно, в конце проверки (или при закрытии программы) вылезло окно, в котором говорилось, что Spider Guard обнаружил попытку изменения конфигурации Dr.Web
Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.
-
cureit записать на что-то типа Bart-Pe (http://www.nu2.nu/pebuilder/) и просканировать загрузившись с этого диска ( в баёсе поставить загрузку с него) Делать диск Bart-Pe с чистого компа, с вашего думаю будет бесполезно. Вирус хорошо прижился у вас.AVZ не заточен под класические вирусы, я посоветуюсь с колегами. ID вирусного процесса - дрвеб определил - может это и поможет ;-)
Добавлено через 3 часа 23 минуты
Пришёл ответ от лаба, присланные файлы чистые.
Последний раз редактировалось drongo; 02.11.2007 в 14:11.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
Любопытный момент выявленный с помощью AVZ "Исследование системы" после очередного сканированя Dr.Web при появлении окошка Spider Guard:
Последний раз редактировалось ZAZAZOO; 15.04.2008 в 22:16.
-
Вообще-то антивирусы отключает полностью перед созданием логов. А то весело может быть, как в вашем случае
-