Нет возможности выполнить правила форума. При загрузке в безопасном режиме выдает 0x0000007b (недоступно устройство загрузки). Это не смотря на то, что я жму esc на предложение отказаться от загрузки stpd.sys.
Ситауация: Сначала перестали открываться странички (как в теме http://virusinfo.info/showthread.php?t=41640), то есть был заблокирован доступ к серверам обновлений антивирей и некоторым другим сайтам (virusinfo.info, sysinternals). Нашел файл tldmovze.dll, удалить нереально (позже при запуске Cure it в обычном режиме он его нашел и удалил). Посмотрел Process Explorer-ом - нету нигде этой длл-ки. Вынул винт вставил в другую машину. Прогнал кав-ом и авз. Ничего. Попробовал удалить эту длл, пока винт на другой машине - не дает. Ставлю обратно. Process Explorer уже не запускается. Кое-как скачал unlocker - не дает его запускать. HiJackThis не скачать. (С другой машины на флехе принес.) Внезапно длл-ка исчезает после перезагрузки. Rootkit Revealer прогнал два раза - сначала 105 косяков, потом 26. Его логи прикрепить не могу, так как при сохранении логов он виснет и не оживает. Еще деталь - два раза заметил такую вещь - собрался писать что-то в адресной строке бравзера, а в нее начинают вставлятся слова testtesttest и так раз 50. В буфере обмена этого не было... Затем в командной строке Total Comander-а собрался писать кажется regedit - опять этот testtest... Это было уже после двух перезагрузок. Комп в сети через вайфай роутер. (Кстати, нашел у себя sptd в устройствах). Судя по всему, у меня модифицированный вариант, причем кто-то им управляет в онлайне - блочит сайты и запуск программ по имени или заголовку. Главный вопрос - как найти этого товарища? Я уже сидел с TcpView полчаса - не увидел. Потом TcpView тоже перестал запускаться. Но я обманул хозяина - переименовал файл и он запустился. Постоянно идут запросы на локальный компьютер в сетке на порт 2869. Вызываются процессами explorer.exe и svchost.exe.
Выдержки из логов MS Network Monitor с содердимым передаваемых пакетов имеются.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи и приложите к этой теме.
Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.
Не успел вчера скрипт выполнить. Сегодня обнаружил что он сменил имя с vde2otqz.sys на ute2otqz.sys и uje2otqz.sys. Не очень знаком с синтаксисом скриптов потому вопрос: будет ли работать скрипт если я заменю vde2otqz.sys на *2otqz.sys? Спасибо за помощь.
В описании этого файла значится что это драйвер мониторинга AVZ.
Да я заметил, так вот и надо ли его присылать? Может у вас есть уже? Я срипт переделал он в логах пишет что все ок в канатин засунул эти файлы, но карантин пустой.
Проблема есть только с постоянной долбежкой на три других компа в локалке на порт 2869. Но в одном из перехваченных пакетов я увидел что это службы UPnP вроде пытается к кому подключится. Отключил UPnP, перезагрузился - обращения продолжаются, причем соединение устанавливается. Пойду те машинки поизучаю. А главной проблемой все так же остается проблема с csrcs... Это просто не излечимо. Весь форум облазил, все делал как пишут... один хрен появляется. Неужели нет антивирусов, которые могут с этой заразой справится?
Да все о том же... csrcs.exe (типа http://virusinfo.info/showthread.php...ight=csrcs.exe). На самом деле не в тему, просто по сети и по флехам продит эта зараза и антивири его не видят. Лечил всем чем можно. Все отлично максимум сутки. Потом как-то пролазит и снова в системах. Только когда он уже прописался его иногда отлавливают АВ. Ну и "компаньон" C:\Windows\Offline Web Pages\Svchost.exe.
кстати, а что в автостарте на диске G у вас?
C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
P.S. csrcs - в логах нет,значит действительно не в тему.
антивирусы и не будут видеть, если копия не попадёт в лабораторию. Как будет карантин с файлом, так и будет детект. Нет карантина- нет детекта
>кстати, а что в автостарте на диске G у вас?
Это была флеха вставлена с тем самым autorun.inf, в котором прописан автозапуск с Recycled\sys.exe. Эта хрень создается процессом c:\windows\offline web pages\svchost.exe. Вот с этим и нереально бороться - АВ видят только авторан. Сам exe не трогают.
>C:\WINDOWS\Installer\1d0ac5b6.msi - и это что?
Это установщик драйвера и приложения для модема Yota. На других машинах авз увидел то же самое и с подозрением фыркнул. Дрова эти вшиты в саму йоту (там флеха есть, которая эмулируется как сд-ром и ставит свои приложения и дрова).
А про csrcs - готовлю логи и открываю тему.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: