Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Большая проблема с Win32.Alman (заявка № 18245)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59

    Question Большая проблема с Win32.Alman

    Добрый день, ситуация такая, подцепил в школе на флешку вирус Win32.Alman (так его определяет DrWeb, Avira пишет Win32.Almanahe)

    В системе установлены:
    файрвол Look'n'stop, антивирус Avira (последняя на данный момент версия, лицензия), Drweb последний, но с ним проблема, пишет Spider Guard не активен, т.к. отсутствуют некоторые компоненты, при попытке их загрузить пишет Ошибка, невозможно загрузить дочернюю службу.

    Систему проверял Drweb CureIT! (полная проверка) в обычном режиме нашел более 1000 зараженных файлов (.exe), почти все вылечил, остальные удалил. После этого в безопасном режиме при проверке DrWeb CureIT! ничего не нашел. Но (!) у меня CureIT был на моем жестком диске, и скорее всего он сам был заражен.

    Были бсоды при загрузке в норм. режиме, Вылетал при загружке explorer.exe с ошибкой.

    Прикрепляю логи в соотв. с пправилами,
    помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\windows\explorer.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
     BC_ImportQuarantineList;
     BC_QrFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    Карантин сюда - http://virusinfo.info/upload_virus.php?tid=18245

    Каспер, DrWeb и Avira на одном компьютере не уживутся, оставляйте что-то одно

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Каспера у меня нет - огрызки остались от бывшей инсталляции.

    После того как я запостил тему, но до вашего сообщения, я несмог загрузить систему в нормальном режиме, вылезал бсод, пробовал несколько раз. Наконец загрузился в безопасном режиме, запустил Drweb, проверил на вирусы - не найдено.
    Запустил CureIT - не найдено.
    Потом запустил AVZ и сделал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" далее перезагрузил комп - бсод. Ща пишу с другой чистой машины, запишу CureIT и ваш код.
    // пошел выполнять код

    Добавлено через 42 минуты

    Выполнил скрипт, перезагруз, в норм. Режиме по прежнему бсод... В safe mode нормально все... Что мне делать?
    Кюр айти с сиди ничего не нашел
    Последний раз редактировалось ruAleks; 18.02.2008 в 22:03. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    А в сообщении BSOD что написано? Код ошибки, имя файла есть?

    Добавлено через 4 минуты

    А Spider Guard у вас загружается, так что из-за конфликта антивирусов может быть все что угодно.
    Последний раз редактировалось AndreyKa; 18.02.2008 в 22:37. Причина: Добавлено

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    C:\WINDOWS\system32\drivers\klif.sys
    C:\WINDOWS\system32\Drivers\kl1.sys

    Каспер полностью жив...


    http://virusinfo.info/showthread.php?t=16646

    Предлагаю стереть все, кроме DrWeb (я так понял, у Вас именно он основной). на системе должен быть только 1 антивирус

  7. #6
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Код бсод ошибки: STOP 0x000000F7 или 7Ф, непомню. Попытаюсь удалить все кроме Др.веба

    Добавлено через 12 минут

    удалил файлы
    C:\WINDOWS\system32\drivers\klif.sys
    C:\WINDOWS\system32\Drivers\kl1.sys
    удалил Avira
    ща скачаю Kaspersky Removal Tool и AVIRA Removal tool и еще раз пройдусь.
    Что мне делать дальше?
    Ща Др.веб обнаружил какой то файл в темповом каталоге Оперы зараженную вирем Win32.HLLM.Graz, я исцелил, код:
    Код:
    18-02-2008 22:57:21 [CR] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera 9.5 beta\profile\cache4\opr03C4Q - инфицирован Win32.HLLM.Graz
    18-02-2008 22:57:28 [CR] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera 9.5 beta\profile\cache4\opr03C4Q - исцелен
    Последний раз редактировалось ruAleks; 18.02.2008 в 23:05. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    ща скачаю Kaspersky Removal Tool и AVIRA Removal tool и еще раз пройдусь.
    Пройдитесь, перезагрузитесь... сделайте лог virusinfo_syscure потом, проверим удаление

  9. #8
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Др.веб только что нашел еще один зараженный файл Alman-ом. Так что я ща удалю антивири кроме др.веба, гружусь в сейф мод, и запускаю CureIT с сиди диска, полную проверку делаю, потом делаю ваш лог. Хорошо?

    Да, rubin, в этой теме http://virusinfo.info/showthread.php?t=16646 исправьте ссылку на AVIRA Removal tool с http://dl.antivir.de/down/windows/tool_de.com на
    http://dl.antivir.de/down/windows/tool_en.com т.к. ваша ссылка ведет на немецкую версию удалялки, моя на англ.

    Добавлено через 10 минут

    Да, извините пожалуйста, но походу AVIRA Removal tool это НЕ удалялка Авиры, а удалялка некоторых особо вредных вирей, потому что вот что AVIRA Removal tool выдала мне при запуске:
    Код:
    AntiVir Removal Tool 3.0 (c) 2006 Avira GmbH
    Removal Tool for:
    Sober.J/P/Y
    W32/Stanit.A
    Worm/Mytob.IN.2/KS
    Worm/NetSky.AA/B.1/C/D.Dam/P/X
    
    Version: 3.0.1.16, Sep 20 2006 11:04:38
    
    Use /? to list all available command line options
    Добавлено через 8 минут

    Да, извините пожалуйста, чтобы тему новую не создавать...
    какое расширение файла скрипта AVZ ?
    Последний раз редактировалось ruAleks; 18.02.2008 в 23:33. Причина: Добавлено

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  11. #10
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    V_Bond я вообще то не это спрашивал, ну да ладно

    Сегодня комп включился, сразу вылетел explorer.exe с ошибкой, видимо вирус все таки есть, Drweb ничего не нашел..

    ща прикреплю лог -извините, лог virusinfo_syscure (а это ведь лог скрипта лечения/карантина и сбора информации для... так?) я пока не смогу приложить, все еще делается (минут 15 уже) осталось времени пишет 3:35 но время то чуть уменьшается, то до 4х минут подскакивает... ужас.


    а вот это меня насторожило когда я делал скрипт сбора информации для раздела Помогите! virusinfo.info
    Код:
    Функция NtCreateKey (29) перехвачена (80576D63->F74D90E0), перехватчик spco.sys
    Функция NtEnumerateKey (47) перехвачена (80577ED8->F74F6CA2), перехватчик spco.sys
    Функция NtEnumerateValueKey (49) перехвачена (80587881->F74F7030), перехватчик spco.sys
    Функция NtOpenKey (77) перехвачена (80571CBC->F74D90C0), перехватчик spco.sys
    Функция NtQueryKey (A0) перехвачена (80577AD8->F74F7108), перехватчик spco.sys
    Функция NtQueryValueKey (B1) перехвачена (80572100->F74F6F88), перехватчик spco.sys
    Функция NtSetValueKey (F7) перехвачена (80581732->F74F719A), перехватчик spco.sys
    Функция NtUnloadKey (107) перехвачена (806536C9->B733A6D0), перехватчик C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
    там еще много чего было написано...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    перехваты совсем не страшные один от демона второй
    uphcleanhlp.sys.

  13. #12
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Сделал таки лог, прикрепил
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Что мне делать дальше?

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true); 
     QuarantineFile('c:\windows\explorer.exe','');
     BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\system32\drivers\kl1.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');       
     BC_DeleteSvc('klif');
     BC_DeleteSvc('kl1');    
     BC_DeleteSvc('mchInjDrv');                                                        
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите карантин

  16. #15
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Прикрепил карантин avz за сегодняшнее число
    архивировал сам avz поэтому без пароля

    -немогу прикрепить файл! пишет
    Ошибки загрузки
    virus.zip:
    Ваш файл занимает 755.3 Кбайт байт, что превышает предел на форуме в 488.3 Кбайт для этого типа файла.

    поэтому залил на дроп (извините, а как иначе)

  17. #16

  18. #17
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    Залил туда

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    explorer.exe, HKDll.dll, HookProcessCreation.dll, HookTerminateAPIs.dll - чистые

    После скрипта из поста 14 проблема все еще присутствует?

  20. #19
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    17
    Вес репутации
    59
    rubin
    Др.веб находит вирусы, но не альман, а какой то Grez или Greez в папке с темп директорией Оперы. я вылечил. Насчет альмана не знаю, комп вроде включается выключается нормально, пока бсодов нет.

    Я думаю загрузится в сейф мод и сделать полную проверку cureIT с диска и выполнить скрипт в avz лечения и карантина. Что думаете?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Полную проверку сделайте, а логи AVZ лучше в обычном режиме

  • Уважаемый(ая) ruAleks, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Самая большая проблема iPhone 4
      От SDA в разделе Mac OS
      Ответов: 2
      Последнее сообщение: 24.07.2010, 23:08
    2. Большая проблема!!!!!!!
      От estrellka в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.06.2009, 02:32
    3. Большая проблема с лечением
      От Noks st в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 09.05.2009, 16:03
    4. Большая проблема
      От alwex в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 03.11.2008, 17:55
    5. Помогите, не большая проблема
      От NN_52 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2007, 17:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01209 seconds with 20 queries