-
Junior Member
- Вес репутации
- 55
он умер :-(
C моим компьютером, возможно, произошла история описанная
в статье
"Буткит: вызов 2008". По крайней мере очень похоже. Только события
развивались по другому сценарию:
При удалении фалов папки C:\WINDOWS\Temp утилитой ССleaner,
Антивирус
Касперского определил (до этого молчал) некоторые файлы как
вирусы,
попытался удалить и вроде что-то удалил, а что не смог
предложил удалить в процессе перезагрузки ОС, что я и
сделал. После загрузки файлы восстановились и процесс
повторился. На третий раз у меня отключились функции
Касперского с приставкой "Анти-" без возможности
включения, а потом и сам Каспеский перестал краснеть.
Последующие восстановления, переустановки дали тот же
результат: не краснеет и, соответственно, не работает.
Оставил этот винт в покое. Взял другой, установил ОС, поставил
Касперского, обновил, включил защиту на максимум, удаление без
запросов. С него проверил предидущий, что-то нашел, удалил.
Они восстановились и при попытке вновь запустить антивирус на
больном винте - никаких результатов.
Далее:
Отцепил больной винт, проверил новый и прицепил 3-ий (там у меня просто
файлы хранятся). При попытке полного копирования 3-его жесткого диска
(чтобы потом отформатировать на всякий случай) на новый, на нем (на
новом) образовалась еще одна папка C:\WINDOWS "0" большего объема, а в
C:\WINDOWS\Temp опять какие-то подозрительные файлы.
P.S.
Версия Касперского kav6.0.3.837_winwksru.
Базы свежайшие, обновлял несколько раз в день.
Последний раз редактировалось baslik; 27.03.2010 в 01:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteService('3d271aaf');
QuarantineFile('C:\WINDOWS\System32\drivers\3d271aaf.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\3d271aaf.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('3d271aaf');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось baslik; 27.03.2010 в 01:27.
-
Карантин где?
В логах чисто...
-
-
Junior Member
- Вес репутации
- 55
какие фийлы слать? или автоматом?
-
перечитайте приложение 3 правил
-
-
Junior Member
- Вес репутации
- 55
спасибо, прочитал, был один файл, отправил
-
setupapi.dll - Trojan-PSW.Win32.Agent.mgp (удален)
-
-
Junior Member
- Вес репутации
- 55
привет
Каспер устоновился, обновляю, буду проверять.
C:\WINDOWS\Temp\hsperfdata_SYSTEM и файлы в ней (вот один 2984, второй временно пропал) - постоянно возрождается и просто удалить не получается
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\setupapi.dll - Trojan-PSW.Win32.Agent.mgp( BitDefender: MemScan:Trojan.PWS.Tupai.A )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-