Добрый день!
У меня WinXP SP2 встроенный.
Проверка Авастом выявила кучу троянов, но главные (как мне казалось) - spool.exe и msftp.dll он не хотел "прибивать". Трафик "шел" очень охотно, без видимых причин.
---
Во время "ручной работы" случайно поставил на общий доступ папки . Своим умом, как это вернуть на место, не понял.
---
Прочел ваши правила, постарался сделать все, как написано.
После проверки CureIt выявил множество троянов (и других вредителей), может около 60. Главное, вышеописанные "бяки" прибились и перестали заново появляться. До этого вручную ничего сделать не удавалось.
Но осталось, видимо, много еще чего интересного...
До сих пор пытается установить некий PCI Device. Кажется,
Шлю вам логи.
P.S. На диске C:/ (в корне) заметил странный файлик os357577.bin. У меня он определяется, как VLC media file, но не похоже, что я такие сохранял.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В свойствах папки закладка Доступ. Или я не очень понимаю,что именно вы включили.
Ох включил и там вот включил, но точно не вспомню. Я так понял, что теперь на доступе C$ D$ E$ (мои партиции ЖД). Правда, может это никаких проблем не принесет (в нашей сетке отрубили передачу файлов напрямую давно), но все же - это, кажется, непорядок.
Скрипт выполню сегодня ближе к ночи, сейчас нахожусь на работе.
Все прислал, только в двух архивах (второй, с os357577.bin,к сожалению не смог добавить через AVZ, упаковал с паролем virus в zip через WinRar). С HijackThis вышло так, что он этих двух строчек не показал .
После прогона вашего скрипта AVZ компьютер не перезагружался сам, и я не смог его перезагрузить по-обычному (пришлось ресет делать). Здесь тоже надо было антивирус выгружать; базы перед этим надо было обновлять? я не понял, относится ли это к любым скриптам, выполняемым в AVZ.
Выполнил, на сей раз комп перезагрузился. Перед (или сразу после, неизвестно) окончанием выполнения скрипта Аваст ругнулся: "обнаружен вирус - vdiyodg1.sys Win32^Trojan-gen"
Теперь я припоминаю (забыл про это написать), что тоже самое было и вчера, только имя *.sys было, кажется, другое.
Поиск файла AVZ (в папках Windows и Documents&Settings) после перезагрузки ничего не дал. "PCI device" никуда не исчез.
Карантин прислал.
Добавлено через 9 минут
Я понимаю, что у меня опыта гораздо меньше... Можно ли попробовать убрать строки в реестре, где прописывается это устройство и посмотреть, что будет делать троян для восстановления?
Последний раз редактировалось Kirik; 08.02.2008 в 13:11.
Причина: Добавлено
На 99% уверен, что я, но перед логами по идее должен был выгрузить. Запускаю, чтобы выгрузить Аваст, - там просто так "выйти" нельзя. Это замена диспетчеру задач (она вроде даже как официальная) с более полным функционалом. Дома проверю.
У меня в логах setapapi этот девайс указывается определенным образом. До обращения на ваш форум я нашел строки в реестре, которые совпадали с его "идентификацией". Конечно, сам, без знаний и утилит я ничего удалить не смог.
Добавлено через 5 часов 48 минут
Выполнил и закачал карантин.
Procexp.exe - это точно замена для диспетчера задач (Process Explorer).
Последний раз редактировалось Kirik; 08.02.2008 в 22:15.
Причина: Добавлено
А если попытаться этому PCI Device обновить драйвер? У меня на работе завелась машина, которая при загрузке системы не может установить драйвер для какого-то очень системного таймера. Причём когда прихожу я и руками в диспетчере устройств велю обновить драйвер, всё сразу же находится. Там же, в системе, без дополнительных дисков. А при перезагрузке опять теряет.
Акробат Ридер любит устанавливать чнго нибудь ... попробуйте убрать для чистоты эксперимента ...
5-й тоже убрал. Вряд ли это адоб флэш плеер шалит.
Добавлено через 4 минуты
Сообщение от pig
А если попытаться этому PCI Device обновить драйвер? У меня на работе завелась машина, которая при загрузке системы не может установить драйвер для какого-то очень системного таймера. Причём когда прихожу я и руками в диспетчере устройств велю обновить драйвер, всё сразу же находится. Там же, в системе, без дополнительных дисков. А при перезагрузке опять теряет.
Честно говоря... Вот тогда я ошибся и не отключил Аваст, а после выполнения скрипта он ругнулся (на vdiyodg1.sys Win32^Trojan-gen). Поэтому, честно говоря, я боюсь устанавливать непонятно что. Тем более, это чудо (неопределенный pci device) стало появляться, аккурат, после "выползания" троянов.
Надо ли рисковать или есть способ выявить, что это такое?
Последний раз редактировалось Kirik; 09.02.2008 в 03:05.
Причина: Добавлено
Способ только один - попросить систему поискать драйвер на устройство. Хотя можно внимательно посмотреть на свойства - вдруг там код устройства светится (PCI_VEN и так далее). Тогда точно что-то аппаратное, с троянами напрямую не связанное. Трояны могли драйвер попортить, например.
Способ только один - попросить систему поискать драйвер на устройство. Хотя можно внимательно посмотреть на свойства - вдруг там код устройства светится (PCI_VEN и так далее). Тогда точно что-то аппаратное, с троянами напрямую не связанное. Трояны могли драйвер попортить, например.
#-199 Выполнение "C:\WINDOWS\system32\rundll32.exe" с командной строкой: rundll32.exe newdev.dll,ClientSideInstall \\.\pipe\PNP_Device_Install_Pipe_0.{05E20CFE-8F33-4857-8F11-D77A64825F66}
#I060 Установка выбранного драйвера.
#-019 Поиск идентификаторов аппаратуры: pci\ven_10de&dev_044a&subsys_10ec0888&rev_a1,pci\v en_10de&dev_044a&subsys_10ec0888,pci\ven_10de&dev_ 044a&cc_040300,pci\ven_10de&dev_044a&cc_0403
вот так он пытается.. собственно, код есть, но какой там девайс, ума не приложу. Сетевая карта, звуковуха - все.. Больше PCI-ных нет.
spool.exe, _svhost.exe и msftp.dll опять появились
Есть подозрение на причастность Total Commander 7.0 или сайта picred.com
Вчера (по описанию) на ТК был запущен (там есть иконка) Интернет Эксплорер, затем совершен вход на picred.com (как я понял, набор первых двух букв, а дальше выбор сайта из свитка).
Совпало так, что сразу после нажатия "войти" на сайте, Аваст выдал сообщение о трояне. Логи Аваста пока не смотрел, но сделал логи AVZ и HiJackThis.
Уважаемый(ая) Kirik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: