Здравствуйте. Только вчера узнал о существовании сайта и службы помощи virus.info.
У меня большая проблема. Один из друзей приходил ко мне домой, чтобы я записал ему информацию по институтским урокам. Он меня предупредил, что у него вирус на флэшке. Но, я согласился, так как подумал, что как всегда мой Avast или Ad-Aware SE с ним справятся.
Теперь жалею. Вирус каждый раз создается заново, как я понял при включении локальной сети, или даже при удалении при включенном интернете сразу после перезагрузки компьютера. При этом Avast находит его в: C/Windows/System32/smtpdrv.sys, и пишет, что это Win32 Agent[LNK]. Я нажимаю отправить в хранилище или т.п. В фоновом режиме (до запуска Windows) ни RegRun, ни Avast не могут его уничтожить, они его находят, но пишут, что путь C:/Windows/System32/smtpdrv.sys doesn`t exists - не существует.
Самое главное в том, что при обнаружении этого вируса появляется окно NT SYSTEM\AUTHORITY. Только после удалении вируса окошко не появляется. Таким образом я могу выслать вам логи (о AVZ я уже прочитал и скачал), но этого вируса уже не будет видно. Может все равно сделать эти логи, хоть я его якобы и удалил вирус? И скажите, знаете ли вы, можно ли "NT SYSTEM\AUTHORITY" отключить из системы Windows? Мне один друг сказал, что он как-то отключал это окошко из Windows.
Я сегодня скачал и установил COMODO Firewall Pro вместо стандартного Брандмауэра Windows. Все патчи и заплатки приводимые на этом сайте в аналогичных темах я поставил. У меня Windows XP SP2. (Лицензия SP1 давно обновленная через Microsoft до SP2, автоматическое обновление включено.)
Сейчас из антивирусов стоит avast! + RegRun + очень много разных антитроянов: От Ad-Aware SE до Windows Defender и FixBlast.
Заранее благодарен. Посоветуйте пожалйста, как мне быть. С такой проблемой за всю историю вирусов сталкиваюсь впервые, до этого любой вирус удалялся/лечился. Сейчас как раз начало дипломного проекта, чертежи надо чертить в "Компасе", и тут такая беда.
P.S. Логи я вложил, при этом avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?). Окно NT AUTHORITY\SYSTEM не появлялось. Единственное, что я не нажал "запретить восстановление системы". Посмотрите пожалуйста пока что это. Очень поздно, я намучился, если надо, завтра повторю логи с отключенным восстановлением системы на всех дисках. Я хотя бы понял, как их надо делать.
Последний раз редактировалось JUNKMAN; 22.02.2008 в 16:47.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
avast! и COMODO были выключены, подключение к интернету и браузер Opera был включен. (Так ли надо было делать, ведь опасно оставлять включенной локальную сеть без защиты?).
Конечно опасно! Интернет и локальную сеть следовало отключить. Вместо Оперы при создании логов лучше запустить IE, если конечно он у вас есть.
План действий:
1. Отключите восстановление системы.
2. Пофиксите в HijackThis:
Код:
O22 - SharedTaskScheduler: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - (no file)
Спасибо, что откликнулись на помощь! Сейчас сумел загрузить Windows только с 4 раза - появлялось окно NT AUTHORITY\SYSTEM. (Запуск серверов DCOM). Сейчас все сделаю по вашим указаниям. Перед пунктом 1."Отключение восстановления системы" я опять отключу антивирус, файерволл, и теперь уже локальную сеть, включу Internet Explorer.
Выполнил. Карантин выслан.
Во время лога лечния/сбора информации было вот что:
3.Сканирование дисков
C:\Fraps\fraps.exe – подозрение на Backdoor.Win32.Rbot.bwa (файл успешно помещен в карантин)
С:\Windows\system32\drivers\smtpdrv.sys – Email-Worm.Win32.Agent.I (успешно помещен в карантин, успешно удален)
Я думаю, может мне тогда удалить fraps - программу для создания скриншотов в играх? Или не стоит? Так как в прошлом логе AVZ ее тоже находил, как и мой проблемный smtpdrv.sys.
Последний раз редактировалось JUNKMAN; 22.01.2008 в 12:16.
Привет! Три раза тьфу, пока все гладко, ни окошка NT AUTHORITY\SYSTEM, ни нахождения avast!`ом smtpdrv.sys. Спасибо огромное. Можете поподробнее рассказать о "разрешении потенциально опасных служб", что это такое, и надо ли их отключать? По поводу fraps.exe также спасибо. Как мне быть - включить или нет восстановление системы?
Спасибо. Как я понял это скрипт AVZ. Да, у меня как раз локальная сеть. (я к ней подключен). Значит первый пункт убираю. И что делать с восстановлением системы, оставить ее отключенной?
Ясно. Просто даже боязно включать. Спасибо вам большое за помощь! Можно ли оставить тему не закрытой, вдруг на крайний случай опять что-либо проявится, или лучше потом начинать просить о помощи заново?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: