Доброе время суток!
ОС Windows XP Pro x64 Edition v.2003 SP2
Подцепил я сегодня вира - им оказался один "кряк".
антивир (nod32v3) ничё не заметил, и просто перестал работать.
Microsoft Update перестал работать, так же в меню администрирования пропали "службы" (скорее всего, много чё пропало, либо перестало работать)
при попытке загрузиться в сэйф мод -ничё не вышло
В автозагрузке появились новые элементы:
flec006 - ~\Administrator\Application Data\m\flec006.exe
wintems - ~\system32\wintems.exe
winfilse - ~\system32\drivers\winfilse.exe
в диспетчере задач имелись какие-то поганенькие процессы (щас уже не помню) - ну, я их благополучно поубивал
почитал, что тут у Вас пишут (http://virusinfo.info/showthread.php?t=17518) - те же файлы оказались и у меня (и некоторые другие, но довольно подозрительные, например {набор цифр}.sys), и я их удалил
запустил Dr.WebCureIt, и почистил ей
при чистке был обнаружен зараженый фаил - exe-шник пунто свитчера (punto switcher к тому моменту уже не работал)
зате мрешил почистить утилитой касперского - она обнаружила туеву кучу вирусов в непонятно откуда взявшейся директории ~\Administrator\Application Data\m\ , в которой лежали какие-то подозрительные архивы и .exe-шники - удалил всю папку, не задумываясь!
так, вроде теперь всё тихо и спокойно, но Microsoft Update так и не работает (наверное, и что-либо есчё) - wuauclt.exe тоже не запускается; службы в администрировании так и не появились, хотя services.msc запускается (видимо, просто пропал ярлык)
высылаю необходимые логи, и принскрин диспетчера задач - там сидит какой-то процесс wmiprvse.exe
в безопасном режиме до сих пор не загружается!!!
очень хочится, чтоб винда нормально работала - обновлялась и т.п.
Надеюсь на Вашу помощь!
заранее благодарен
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
доброе утро
скрипт я выполнил, но думаю это вряд ли поможет
glaide32.sys уже был удалён касперовской утилитой или Dr.WebCureIt (вобщем нет его); findexe.exe имеется на здаровом компьютере в миктехе, так что вряд-ли это вир, хотя на здаровом он весит на 0,5 кБ меньше, но на диске они занимают одинаково
про srosа ничё сказать не могу
высылаю карантин
до сих пор не могу загрузиться в безопасном режиме - при попытке комп перезагружается (если поможет, то последняя строчка про acpitabl.dat)
Microsoft Update до сих пор не работает, причём перекидывает с привочной страницы http://update.microsoft.com/microsoftupdate/..... на http://v4.windowsupdate.microsoft.com/
но каким-то чудом автоматическое обновление ночью скачало и установило обновление Windows Media Format 9.5 SDK x64 Edition (KB941569), подписанное майкрософтом, но на страницах майкрософта обновление с точно таким же именем отсутсвовало, и я, на всякий случай откатил это обновление
обнаружил, что не работает брандмауэр, вернее он работает, но не сразу - при первой попытке обратиться к нему вылазит сообщение от том, что не запущена какая-то служба, и предлагает её запустить, после чего он работает
антивир до сих пор не пашет
на диске С свободного места стало на 1 ГБ больше - уменьшился размер папки WINDOWS
надеюсь на помощь
Последний раз редактировалось drongo; 29.10.2008 в 13:24.
и ещё, AVZ ругается на GrooveShellExtensions.dll :
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ
и до сих пор ругается так:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса -2147483641 ?
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C000036B]
В AVZ меню Файл Восстановление системы - в строчке
10. Восстановление настроек зашрузки в SafeMode
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
AVZ еще мало приспособлен к лечению 64 битных систем. И драйверы свои он не может использоваеть так как они 32 битные.
доброе утро
указанные процедуры выполнил - теперь комп грузится в сэйф моде
микрософт апдейт так и не работает
Добавлено через 2 часа 14 минут
зловреда вроде не наблюдается
переустановил nod32 - чё-то как-то подозрительно он работает
"защита в реальном времени" поначалу была отключена каким-то чудесным образом, и не как не включалась
после пары перезагрузок таким же чудесным образом она заработала (я имею ввиду индикатор работы в окне нода), так что нет полной уверенности, что она работает
микрософт апдейт работать до сих пор отказывается
Последний раз редактировалось azsmir; 30.10.2008 в 11:45.
Причина: Добавлено
при переходе на эту ссылку ничё сверхестественного не происходит, и браузер не отображает страницу
антивир обновляться не желает - говорит, что база современная, хотя датируеися она августом 2008-го
в настройках автоматического обновления всё нормально - включено
сразу вылазит
IE неудаётсязагрузить eicar.com из eicar.org
сброшено подключение к этому серверу
и не предлогает никуда сохранять
Добавлено через 12 минут
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса -2147483641 ?
и ругается на вновь установленный Punto Switcher:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files (x86)\Punto Switcher\pshook.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Punto Switcher\pshook.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, мышь
2. Выясняет, какое окно находится в фокусе ввода
3. Опрашивает состояние клавиш
4. Опрашивает состояние клавиатуры
5. Опрашивает активную раскладку клавиатуры
C:\Program Files (x86)\Punto Switcher\pshook.dll>>> Нейросеть: файл с вероятностью 83.43% похож на типовой перехватчик событий клавиатуры/мыши
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
и вот:
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C000036B]
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации SCR файлов
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
что дальше делать?
Добавлено через 2 часа 40 минут
что дальше делать?
Последний раз редактировалось azsmir; 30.10.2008 в 16:01.
Причина: Добавлено
64-битный браузер лезет на 6-ю версию, но потом ругается, что это делать надо в 32-битном:
Необходимо открыть 32-разрядную версию обозревателя Internet Explorer
По-прежнему можно установить обновления для 64-разрядных версий системы Windows. Однако для просмотра этого веб-узла необходимо использовать 32-разрядную версию обозревателя.
... и открывает в 32-битном, а там всё по прежнему - лезет в 4-ю версию
Уважаемый(ая) azsmir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: