Показано с 1 по 14 из 14.

drweb и касперский не помогли? (заявка № 16544)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62

    Thumbs up drweb и касперский не помогли?

    Здравствуйте!
    Не могу вывести вирус. Windows XP EN SP2. Все началось с перехода на бесплатный аваст с месяц назад. Была скачана последняя версия, настроена и проходило ежедневное обновление баз. Однако, в один прекрасный день после появления рабочего стола виндоуз стал "выпадать" в синий экран. Причина гласила DRIVER_IRQL_LESS_OR_EQUAL, а вот имя проблемной библиотеки было странным и каждый раз разным. Например: h.sys, xvuy.sys, 18.sys, bu.sys. Я заподозрил неладное.
    Зашел в Save Mode - все окей. Запустил msconfig - выключил все немайкрософтовские службы и программы при логоне. Перезагрузился в нормальном режиме - синего экрана не было. Скачал последний CureIt и проверил все на максимальных настройках. DrWeb нашел следующее:
    tio8x6.cmd; c:\;Trojan.MulDrop.6474;
    tio8x6.cmd; d:\; Trojan.MulDrop.6474;
    tio8x6.cmd; l:\; Trojan.MulDrop.6474;
    tio8x6.cmd; m:\; Trojan.MulDrop.6474;
    tio8x6.cmd; s:\; Trojan.MulDrop.6474;
    tio8x6.cmd; x:\; Trojan.MulDrop.6474;
    amvo.exe;C:\WINDOWS\system32;Trojan.MulDrop.6474;
    amvo.exe;D:\;Trojan.MulDrop.6474;
    7k7codj.dll; C:\Documents and Settings\Roman\Local Settings\Temp; Trojan.Nsanti.Packed
    h.sys; C:\Documents and Settings\Roman\Local Settings\Temp; Trojan.NtRootKit.551
    Вот он и нашелся мой h.sys, подумал я... В реестре в RUN был найден вызов amvo.exe, тут же удален. Больше ничего подозрительного не нашел. Далее я скачал пробную версию касперского, обновил базы и прошелся еще раз с максимальными настройками. Касперский нашел еще C:\WINDOWS\system32\amvo0.dll. Причем и его и все файлы, перемещенные вебом в карантин он определял как вирус Worm.Win32.AutoRun.bpn.
    Теперь я замечаю три странных вещи:
    1) При загрузке системы появляется окно Dial-up Connection, источник которого я не нашел. Process Explorer показывает, что окно пренадлежит процесу explorer.exe.
    2) При проверке цифровых подписей Process Explorer не верифицирует подпись winlogon.exe, хотя все остальные стандартные процессы верифицированы. Странных процесов и потоков под винлогоном я сам не вижу.
    3) Вирус сбросил настройку проводника об отображении скрытых файлов (у меня всегда отображение было включено). При попытке вернуть настройку все проходит нормально, но ничего не меняется. Когда снова идешь в настройки вида - выбрано не отображать.

    Подскажите, пожалуйста, нормально ли то, что я перечислил в конце и стоит ли дальше искать заразу?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1525
    Восстановление системы: включено - отключить ...
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    карантин собранный авз virusinfo_cure.zip пришлите по ссылке http://virusinfo.info/upload_virus.php?tid=16544

  4. #3
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    Файл я прислал, только не знаю тот ли. Прислал готовый архив из папки с логами.

    Скрипт выполнил. Отображение скрытых файлов теперь включается. Что теперь? Объясните, плз, что это было или мб еще есть? =)
    Последний раз редактировалось lobzik; 17.01.2008 в 01:24. Причина: прислал файл

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1525
    антивирусы справились .... мы немного подчистили следы ....

    Добавлено через 1 минуту

    присланный архив пустой ...
    Последний раз редактировалось V_Bond; 17.01.2008 в 01:27. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    Такой файл был в папке с AVZ или надо было что-то другое прислать?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1525
    он должен был быть приблизительно там c:\avz\LOG\

  8. #7
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    он там и был, сразу после первого сканирования (не после выполнения скрипта)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1525
    вот он и нужен ...

  10. #9
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    Я сейчас отправил то, что было в карантине.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1525
    в присланных файлах нет ничего подозрительного ....
    надеюсь проблем больше нет ...

  12. #11
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    Поясните, пожалуйста, в паре предложений что поправил AVZ последним скриптом? Winlogon.exe по прежнему не верифаится процес эксплорером, и теперь к нему присоединилась пара свхостов. Это нормально?

    З.Ы. Где можно почитать про эти команды более подробно?

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В справке АВЗ расписаны все эти команды. Найдите в справке Воостановление системы.

  14. #13
    Junior Member Репутация
    Регистрация
    14.01.2008
    Адрес
    Россия, Уфа
    Сообщений
    7
    Вес репутации
    62
    Спасибо огромное за помощь!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    979

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) lobzik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 03.08.2010, 19:59
    2. inetmib1.dll, Webmoney и Касперский с DrWeb'ом
      От Slid в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.09.2009, 06:35
    3. Касперский и Drweb не могут удалить трояна
      От тихоход в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.05.2009, 15:52
    4. Ответов: 17
      Последнее сообщение: 09.03.2009, 21:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00663 seconds with 17 queries