-
Junior Member
- Вес репутации
- 59
Полезли вирусы - DrWeb находит, но не убивает
DrWeb активно находит кучу вирусов, нажимаю "лечить", а потом он их опять находит.
Вот на что он кричит:
C:\System Volume Information\_restore{8BB7F02A-8552-4183-A299-E3708E0CFA56}\RP394\A0107243.sys - инфицирован Trojan.Spambot.2486
C:\WINDOWS\system32\basewmvh32.dll - инфицирован Trojan.Okuks.based
O:\kyxa\server3\home\freehost\www\data\mails_temp\ swing\part-159.html - инфицирован Trojan.Okuks.based
C:\WINDOWS\system32\basewmvh32.dll - инфицирован Trojan.Okuks.based
C:\WINDOWS\TEMP\NT37C132.exe - инфицирован Trojan.PWS.LDPinch.1941
C:\WINDOWS\TEMP\NT1C5232.exe - инфицирован Trojan.PWS.LDPinch.1941
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы нужно отключить!!!
ПАРОЛИ ВСЕ сменить обязательно, у Вас был Пинч.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('pythoncom24.dll','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\basewmvh32.dll','');
DeleteFile('C:\WINDOWS\system32\basewmvh32.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23215
Очистите кеш браузера,временные папки,просканируйте Доктором в безопасном режиме и повторите логи.
-
-
Версия 4.44 DrWeb вышла пол-года назад. А у вас какая, 4.33?
-
-
Junior Member
- Вес репутации
- 59
Восстановление отключил.
Что значит "был" - уже нет, и система чистая?
О паролях расскажите пожалуйста - пинч считывает и куда-то отсылает все пароли, которые я в ie вводил во время жизни пинча?
Кстати, drWeb сканер некоторое время назад перестал запускаться, работает только SpiderGuard - это тоже проделки какого-то вируса?
Добавлено через 2 минуты
Сообщение от
AndreyKa
Версия 4.44 DrWeb вышла пол-года назад. А у вас какая, 4.33?
Да, 33. Но базы актуальные (я думал главное у него - базы).
Последний раз редактировалось sergijko; 22.05.2008 в 12:56.
Причина: Добавлено
-
Сообщение от
sergijko
Но базы актуальные (я думал главное у него - базы).
Наверное, вы его с KAV путаете.
-
-
Сообщение от
sergijko
Что значит "был" - уже нет, и система чистая?
О паролях расскажите пожалуйста - пинч считывает и куда-то отсылает все пароли, которые я в ie вводил во время жизни пинча?
Да, занимается он именно этим, возможно ушли все пароли.
После отключения восстановления и выполнения скриптов можно будет еще разок проверить польностью компьютер Доктором.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('pythoncom24.dll','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\basewmvh32.dll','');
DeleteFile('C:\WINDOWS\system32\basewmvh32.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:
http://virusinfo.info/upload_virus.php?tid=23215
Очистите кеш браузера,временные папки,просканируйте Доктором в безопасном режиме и повторите логи.
Все сделал.
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
Junior Member
- Вес репутации
- 59
Сообщение от
AndreyKa
Наверное, вы его с KAV путаете.
Не, drUpdater думаю именно drWeb обновляет
-
отключите всю автозагрузку ... переделайте virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
отключите всю автозагрузку ... переделайте virusinfo_syscheck.zip
А в безопасном режиме автозагрузка не запускается? Или же полюбому через msconfig отключать все из автозагрузки?
-
лучше через msconfig ( временно ,потом включите)
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
отключите всю автозагрузку ... переделайте virusinfo_syscheck.zip
Сделал.
Последний раз редактировалось sergijko; 03.02.2010 в 15:39.
-
В логе ничего подозрительного,проблема осталась?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
В логе ничего подозрительного,проблема осталась?
"в логе ничего подозрительного" == возможно все вылечили?
Обновил drWeb к 4.44 - пока молчит, ничего вроде не находит.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\basewmvh32.dll - Trojan.Win32.SubSys.dr
- c:\\windows\\temp\\winlogon.exe - SpamTool.Win32.Agent.kf (DrWEB: Trojan.Inject.3405)
-