Win.32 SpyBot-остаётся даже после форматирования!!!
Здравствуйте!Обращаюсь к Вам уже не в первый раз,однако проблема так и не решена.В очередной раз отформатировал свой HDD с помощью Acronis,а вирус так и остался.Из антивирусов пробовал-KIS,KAV,Panda,Avast,Dr.Web,NOD32.Только AGAFA нашел что есть троян сидит в C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto .Постоянно его находил,помещал в карантин,но после каждого перезапуска вновь выскакивала таблица настройки системы (MsConfig),некоторые ярлыки самостоятельно появлялись или пропадали,некоторые текстовые файлы не открывались,через раз открывался доступ к реестру и к автозапуску.Вообщем полный бардак!Ранее присланые Вами скрипты(еще до форматирования) выполнял,но проблема осталась,а потом и вовсе система рухнула.Высылаю Вам логи и информация о вирусе(ходил по ссылке из AGAFa,только перевода нету ).Посмотрите пожалуйста и помогите чем можете!С искренним уважением Андрей.
P.S/Вот еще забыл,не работает обновление винды,даже когда просто в панели нажимаю на обновление-система виснет намертво(ждал 30 минут).
Последний раз редактировалось Anry; 16.01.2009 в 20:17.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну и прошлый то раз почему то "ничего зловредного" в логах не было,да только все симптомы того что это BackDoor,по описанию.с автозагрузки не убирается NvCpl,постоянно там в Run висит NvCpl Daemon,постоянно вылетает настройка системы после перезапуска.Если KIS не видит этот вирус,то по моему это еще ничего не значит,вот как раз AGAFA то и подтвердил мое подозрение что пораженн C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto(кстати,почему окончание auto, а не просто как раньше было MSConfig.exe???).а еще раньше в реестре появлялся в Run файл с названием %system%dumper -k 0 ,название может не точно написанно.Такие же симптомы у моих ещё 2 компов(ну просто видать по флашке занес).Посмотрите пожалуйста внимательно,если требуються могу сделать ещё логи.Просто по описанию симптомов вируса,это то же самое что было у моего друга,а вот у друга куда то ушли все деньги с WMZ.Да и в описании Win.32Spybot написанно что он ворует пароли и передает их.Может мне поставить ещё раз AGAFA и проверить им,но толку правда кроме обнаружения никакого.Помогите!!!
Добавлено через 4 часа 2 минуты
Поставил снова AGAFA--->>
Обнаружено "Win32.Spybot.worm": [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig".
Нет доступа к файлу: C:\DOCUME~1\Admin\LOCALS~1\Temp\tmpA.tmp (ошибка №-2147023890)
Нет доступа к файлу: C:\WINDOWS\AS_Debug.txt (ошибка №-2147023890)
W32.Spybot.Worm is a detection for a family of worms that spreads using KaZaA file sharing and mIRC. This worm can also spread to computers that are infected with common backdoor Trojan horses and network shares that make use of weak passwords.
More Info.
А Вы говорите что всё чисто!!!Просто уже не в первый раз обращаюсь к вам,то ли у кого то из хелперов не хватает просто опыта в лечении,то ли я сам что то неправильно делаю.Прокомментируйте пожалуйста что это мне выдала Agafa
Последний раз редактировалось Anry; 17.01.2009 в 02:32.
Причина: Добавлено
То что Вы называете Agafa следует понимать AGAVA Antispy?
Ну да,конечно же .Просто смотрю все вместо Kaspersky пишут Каспер,ну думаю разберуться .Помогите пожалуйста!Я уже скачал себе утилиту для низкоуровневого форматирования,просто она ещё ж может и винт совсем убить..физически..а хотелось бы малой кровью обойтись.
NVCpl - это от видеокарты. Когда вы убиваете компонент родного драйвера, система из загашников достаёт свой generic-драйвер для nVidia.
MSConfig /auto - это вы, видимо, что-то с её помощью в автозагрузке отключали, вот она и повесилась туда сама в качестве напоминалки, чтобы не забыли вернуть всё назад по редмондским понятиям.
dumprep - это появляется после синего экрана, поготовитель посмертного дампа памяти.
Agava Antispy в одном шаге от псевдоантивирусов вроде XPAntivirus 2009. Насколько у них хорош антиспам, настолько же убог антишпион.
NVCpl - это от видеокарты. Когда вы убиваете компонент родного драйвера, система из загашников достаёт свой generic-драйвер для nVidia.
MSConfig /auto - это вы, видимо, что-то с её помощью в автозагрузке отключали, вот она и повесилась туда сама в качестве напоминалки, чтобы не забыли вернуть всё назад по редмондским понятиям.
dumprep - это появляется после синего экрана, поготовитель посмертного дампа памяти.
Agava Antispy в одном шаге от псевдоантивирусов вроде XPAntivirus 2009. Насколько у них хорош антиспам, настолько же убог антишпион.
Спасибо за ответ!Все четко и ясно.и ещё...вирус пропал!!!чего случилось не пойму,но папки RUN в реестре вообще не существует больше.Спасибо за добросовестное отношение к чайникам вроде меня.Рад что вы у нас есть.всем рекомендую вас.Спасибо ещё раз.
Уважаемый(ая) Anry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
).Посмотрите пожалуйста и помогите чем можете!С искренним уважением Андрей.
Сообщение от Aleksandra
.Просто смотрю все вместо Kaspersky пишут Каспер,ну думаю разберуться 
.Помогите пожалуйста!Я уже скачал себе утилиту для низкоуровневого форматирования,просто она ещё ж может и винт совсем убить..физически..а хотелось бы малой кровью обойтись.
