После загрузки Windows OutpostFirewall выдает сообщение (внутренняя защита включена), что была произведена попытка изменить его файлы программой .../explorer.exe. После загрузки центра управления NOD от Outpost поступает аналогичное сообщение о том, что .dll NOD-а изменены.
После этого попытки обновить базы NOD через интернет неудачны. Система несколько раз перезагружалась, при этом загрузка производилась не с первого раза - происходило зависание. Позже было обнаружено наличие нового профиля пользователя под именем "ASP.NET" (возможно, появилось после установки продуктов от LizardTech, скачаных через инет). Его удаление (и профиля и продуктов) ни к чему не привело.
Полная проверка системы с максимальными установками NOD, CureIt (в безопасном режиме ОС) не дала никаких результатов.
Позже была разинсталена часть ПО, в т.ч. NOD (для уменьшения кол-ва перехватчиков) и повторно произведены проверки - результат нулевой. Результаты проверки, описанной в правилах, прикреплен.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Попробовал выполнить Ваш скрипт - на шаге включения AVZGuard выскочило окно с сообщением "Failed to set data for 'DisplayName'" с заголовком "Антивирусная утилита AVZ" и выполнение скрипта прерывается - карантин пуст. Попытка перезапустить скрипт привела к такому же результату, перезагрузка компьютера тоже не помогла.
Я попробовал сразу после запуска AVZ вручную включить AVZGuard - он включился (если сначала запустить скрипт - попытка вручную включить защиту тоже выдает это окно). После этого скрипт выполняется, но в конце опять то же окно. Причем в карантине только два файла (dll виртуального принтера LizsardTech - его я не удалял). А в логе следующее-
Выполнен карантин файла C:\WINDOWS\explorer.exe
Ошибка карантина файла, попытка прямого чтения (BiEMonNT.dll)
Карантин с использованием прямого чтения - ошибка
нод и аутпост как инет перед исполнением скрипта отключать надо.
Так NOD я вообще разинсталил перед обращением на форум, а Outpost отключил совсем (выключил автозагрузку и больше не включаю) - так как он (аутпост) уже несколько раз говорил, что файлы его и нода уже изменены - чтобы не сделать еще хуже.
Инет тоже отключаю перед запуском AVZ. Только не знаю нужно ли перед провекой всегда открывать iExplore или только при первой проверке.
Ооо.. Только что выскакивал синий экран с сообщением, что причина остановки ЦП - uji3ndi5.sys (естессно, я перегрузился после этого).
Попробовал обновить базы AVZ из утилиты - ошибка обновления, выполнение стандартного скрипта обновления тоже привела к ошибке - вчера обновлялось вручную без проблем.
Последний раз редактировалось Fyva; 27.12.2007 в 23:00.
Выполнил всё в точности.
Пункт 1 - ОК - перезагрузка.
Пункт 2 - ситуация повторилась, реакция прежняя (окно с сообщением и неполное выполнение скрипта).
Попробовал обновляться из новой программы - тоже ошибка, в любом варианте.
Я тут маленько пошалил - запустил скрипт от zerocorporated в SafeMode - он прошел до перезагрузки. В обычном режиме сформировал новый архив из файлов карантина - теперь они там все, причем по две штуки.
А насчет вышеупомянутой uji3ndi5.sys я уже раскусил - это наверное переименованный драйвер защиты AVZ - прошелся поиском при включенной защите по папкам WINDOWS. Знач дела...
Да, и еще. У меня такой вопрос - есть ли вероятность определить источник этой гадости у меня в системе - а то я бы снес все да и по новой установил бы винду, только боюсь наступить на те же грабли...
Новый карантин выслал:
Файл сохранён как 071227_154535_virus_47741cff6330d.zip
Размер файла 174038
MD5 d7fea4cc8c3ab2aef577dab1be07be3d
Про меня забыли? Или мой случай безнадежен? Скажите что нить, посоветуйте как мне дальше быть. Жду авторитетного мнения и совета!!! С уважением Fyva!!!
Последний раз редактировалось Fyva; 28.12.2007 в 23:50.
1. Попробовал поместить C:\WINDOWS\explorer.exe в карантин через AVZ по списку - действие выполняется, но карантин пуст. Пробовал сначала блокировать работу руткитов, а затем поместить в карантин через AVZ - карантин тоже пуст. Поэтому создал zip ручками , как положено, (правда Winrar-ом ,но я думаю неважно) с паролем virus и выслал Вам.
2. Компьютер новый, месяц назад (после покупки) проверял винт утилитой MHDD - проблем не было, но Вы правы, все могет быть.. Поетому сейчас запущу проверку С:\
Добавлено через 30 минут
Сделал полную проверку диска С: - ошибок не обнаружено. Поведение системы - такое же как до проверки (антивирус не обновляется, explorer.exe не добавляется в карантин, AVZ находит кучу перехватчиков).
Да, только что заметил таукю вещь: пропала языковая панель - раньше я пользовался панелькой PuntoSwitcher, а системную скрывал, а теперь (Punto разинсталил давно) - даже когда стоит галка "отображать языковую панель" - ее нет (в смысле нет системной языковой панели).
Последний раз редактировалось Fyva; 29.12.2007 в 19:44.
Причина: Добавлено
что explorer.exe не добавляется это хорошо ... значит прошел по базе безопасных
насчет языковой панели ... и не появится ... в автозагрузке отсутствует ctfmon.exe
насчет языковой панели ... и не появится ... в автозагрузке отсутствует ctfmon.exe
Опаньки, тормознул - сам же удалил когда из автозагрузки вычищал все что мона
Добавлено через 59 секунд
А что мне делать дальше c вирусами ??
Добавлено через 3 часа 16 минут
СПАСИБО всем за попытки помочь мне, но, видать, не судьба. Время сильно поджимает, нужно работать, а на компе очень много важной инфы. Скину всё на другой винт, а на этом перебью все с абсолютного "0". Больше не могу ждать с моря погоды.
Всех с наступающим Новым Годом!!! Удачи в Вашем полезном деле!
Последний раз редактировалось Fyva; 30.12.2007 в 00:10.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: