Добрый день, ситуация такая, подцепил в школе на флешку вирус Win32.Alman (так его определяет DrWeb, Avira пишет Win32.Almanahe)
В системе установлены:
файрвол Look'n'stop, антивирус Avira (последняя на данный момент версия, лицензия), Drweb последний, но с ним проблема, пишет Spider Guard не активен, т.к. отсутствуют некоторые компоненты, при попытке их загрузить пишет Ошибка, невозможно загрузить дочернюю службу.
Систему проверял Drweb CureIT! (полная проверка) в обычном режиме нашел более 1000 зараженных файлов (.exe), почти все вылечил, остальные удалил. После этого в безопасном режиме при проверке DrWeb CureIT! ничего не нашел. Но (!) у меня CureIT был на моем жестком диске, и скорее всего он сам был заражен.
Были бсоды при загрузке в норм. режиме, Вылетал при загружке explorer.exe с ошибкой.
Прикрепляю логи в соотв. с пправилами,
помогите пожалуйста.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Каспера у меня нет - огрызки остались от бывшей инсталляции.
После того как я запостил тему, но до вашего сообщения, я несмог загрузить систему в нормальном режиме, вылезал бсод, пробовал несколько раз. Наконец загрузился в безопасном режиме, запустил Drweb, проверил на вирусы - не найдено.
Запустил CureIT - не найдено.
Потом запустил AVZ и сделал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" далее перезагрузил комп - бсод. Ща пишу с другой чистой машины, запишу CureIT и ваш код.
// пошел выполнять код
Добавлено через 42 минуты
Выполнил скрипт, перезагруз, в норм. Режиме по прежнему бсод... В safe mode нормально все... Что мне делать?
Кюр айти с сиди ничего не нашел
Последний раз редактировалось ruAleks; 18.02.2008 в 22:03.
Причина: Добавлено
Код бсод ошибки: STOP 0x000000F7 или 7Ф, непомню. Попытаюсь удалить все кроме Др.веба
Добавлено через 12 минут
удалил файлы
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\Drivers\kl1.sys
удалил Avira
ща скачаю Kaspersky Removal Tool и AVIRA Removal tool и еще раз пройдусь.
Что мне делать дальше?
Ща Др.веб обнаружил какой то файл в темповом каталоге Оперы зараженную вирем Win32.HLLM.Graz, я исцелил, код:
Др.веб только что нашел еще один зараженный файл Alman-ом. Так что я ща удалю антивири кроме др.веба, гружусь в сейф мод, и запускаю CureIT с сиди диска, полную проверку делаю, потом делаю ваш лог. Хорошо?
Да, извините пожалуйста, но походу AVIRA Removal tool это НЕ удалялка Авиры, а удалялка некоторых особо вредных вирей, потому что вот что AVIRA Removal tool выдала мне при запуске:
Код:
AntiVir Removal Tool 3.0 (c) 2006 Avira GmbH
Removal Tool for:
Sober.J/P/Y
W32/Stanit.A
Worm/Mytob.IN.2/KS
Worm/NetSky.AA/B.1/C/D.Dam/P/X
Version: 3.0.1.16, Sep 20 2006 11:04:38
Use /? to list all available command line options
Добавлено через 8 минут
Да, извините пожалуйста, чтобы тему новую не создавать...
какое расширение файла скрипта AVZ ?
Последний раз редактировалось ruAleks; 18.02.2008 в 23:33.
Причина: Добавлено
Сегодня комп включился, сразу вылетел explorer.exe с ошибкой, видимо вирус все таки есть, Drweb ничего не нашел..
ща прикреплю лог -извините, лог virusinfo_syscure (а это ведь лог скрипта лечения/карантина и сбора информации для... так?) я пока не смогу приложить, все еще делается (минут 15 уже) осталось времени пишет 3:35 но время то чуть уменьшается, то до 4х минут подскакивает... ужас.
а вот это меня насторожило когда я делал скрипт сбора информации для раздела Помогите! virusinfo.info
Код:
Функция NtCreateKey (29) перехвачена (80576D63->F74D90E0), перехватчик spco.sys
Функция NtEnumerateKey (47) перехвачена (80577ED8->F74F6CA2), перехватчик spco.sys
Функция NtEnumerateValueKey (49) перехвачена (80587881->F74F7030), перехватчик spco.sys
Функция NtOpenKey (77) перехвачена (80571CBC->F74D90C0), перехватчик spco.sys
Функция NtQueryKey (A0) перехвачена (80577AD8->F74F7108), перехватчик spco.sys
Функция NtQueryValueKey (B1) перехвачена (80572100->F74F6F88), перехватчик spco.sys
Функция NtSetValueKey (F7) перехвачена (80581732->F74F719A), перехватчик spco.sys
Функция NtUnloadKey (107) перехвачена (806536C9->B733A6D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
Прикрепил карантин avz за сегодняшнее число
архивировал сам avz поэтому без пароля
-немогу прикрепить файл! пишет
Ошибки загрузки
virus.zip:
Ваш файл занимает 755.3 Кбайт байт, что превышает предел на форуме в 488.3 Кбайт для этого типа файла.
rubin
Др.веб находит вирусы, но не альман, а какой то Grez или Greez в папке с темп директорией Оперы. я вылечил. Насчет альмана не знаю, комп вроде включается выключается нормально, пока бсодов нет.
Я думаю загрузится в сейф мод и сделать полную проверку cureIT с диска и выполнить скрипт в avz лечения и карантина. Что думаете?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: