-
Junior Member
- Вес репутации
- 59
msnmsgr.exe и service.exe
здравствуйте! после запуска компьютера появлялись сообщения типа "в устройстве нет диска.Вставьте диск в устройство \device\Harddisk1\DR4." от приложений msnmsgr.exe и service.exe (по очереди). после нескольких нажатий кнопок "отмена" сообщения пропадали, но через 30 сек. появлялись снова. после выгрузки данных приложений из процессов через диспетчер задач проблема пропадала. но после каждой презагрузки... снова. если во время работы этих приложений вставить флэшку, то НОД32 кричит что этими процессами на флэшке созданы черви (как обычно видит следствие а не причину ).
выполнили всем рекомендуемые процедуры. CureIT нашел 4 вида вирусов в разных местах (но вроде все другие), в том числе в папках, связанных с DIVx. AVZ написал что есть АДваре в папке связанной с DIVx. странно вроде дивикс мы обновляли с официального сайта. в процессе выполнение процедур выполнили все рекомендации по отключению опасных служб (из рекомендуемого вами пособия).после рекомендуемой в п. 9 перезагрузки окно об ошибке не появилось, но процессы msnmsgr.exe и service.exe запущены. п. 10 и 12 выполняли не прекращая их (гадкие процессы). очень ждем помощи. если на компе есть серьезные вирусы, не могли вы дать ссылку на их описание (что за зверь, чем опасен, как попадает на комп - хочется повышать свой уровень знаний об этом зле), а если из логов известно как мы их подцепили -скажите плиз. и еще очень волнует: можно ли после лечения пользоваться флэшками которые успели вставлять до лечения (с них НОД удалил черви созданные вышеуказанными файлами)
Последний раз редактировалось dlenacsm; 13.02.2009 в 10:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите антивирус!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\msnmsgr.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\service.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Udj07.sys','');
DeleteService('Udj07');
DeleteFile('C:\WINDOWS\System32\Drivers\Udj07.sys');
DeleteFile('C:\WINDOWS\service.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Windows\msnmsgr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Udj07 ');
BC_Activate;
RebootWindows(true);
end.
пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
ответ и спасибо
карантин закачали. логи прилагаем. после перезагрузки вроде все ок. спасибо. что это было?
Последний раз редактировалось dlenacsm; 13.02.2009 в 10:30.
-
Junior Member
- Вес репутации
- 59
про флэшки
и непонятно, есть риск пользоваться флэшками которые бывали в компе до лечения ?
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [Windows Update Manager] service.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wvUoMcaY.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\agr2mjcy.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\agr2mjcy.SYS');
DeleteFile('C:\WINDOWS\system32\wvUoMcaY.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 59
ответ
Вырубили интеренет (путем выключения АДСЛ модема), вырубили НОД (файервол не включен). Пофиксили, почистили по первому способу (cleanmgr). логи прилагаем. три раза пытались отправить карантин, так и не дождались ответа что файл закачан. похоже не получается отправить почему-то .
Последний раз редактировалось dlenacsm; 13.02.2009 в 10:30.
-
В логах ничего плохого. А почему Вы при выполнении логов правила не выполняете?
Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер (Internet Explorer. Если он не запущен - запустите)!!!
А у Вас - и АдАваре, и Нокия и чего там только нет. В слвдующий раз заставим переделывать логи.
Ставьте Сервис Пак 3.
Проблемы какие-нибудь есть?
-
-
Junior Member
- Вес репутации
- 59
спасибо
явных проблем нет. спасибо. я посчитал, что драйвера устройств не относятся к "активным программам, а у меня в трее были драйвера креатива, телефона, ТВтюнера, принтера, АТИ, WiFI, мыши, блютуса, клавиатуры, Деамона, ну и адваре (признаю косяк). На будущее учту и буду выгружать и все драйвера тоже. Спасибо вам огромное, процветания ресурсу!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\msnmsgr.exe - Backdoor.Win32.IRCBot.dxu (DrWEB: BackDoor.IRC.Sdbot.3862)
- c:\\windows\\service.exe - Trojan.Win32.Buzus.msy (DrWEB: BackDoor.IRC.Sdbot.364
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.djw (DrWEB: Trojan.Proxy.3176)
-