ДрВеб лечит при каждой загрузке.

[Чижъ]

Внешне кроме этого проблем нет, но наверное потому, что работают под ограниченной учеткой.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Документы\yqknii.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\yqknii.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Чижъ]

карантин пуст, логи в процессе.
никак нельзя ускорить процесс их сборов? xчаса о 2-3 местами всю виндовую справку гоняет. и офисную тоже

[Чижъ]

логи и карантин

[Kuzz]

Проблема еще наблюдается?

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SetServiceStart('cdralw', 4);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)

3. Обратите внимание: C:\WINDOWS\System32\r_server.exe

4. У Вас заметны остатки другого антивируса:
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

5.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Обновлять систему и IE надо

[Чижъ]

ДрВеб лечит при каждой загрузке.

корректирую. Лечит в течении рабочего дня.
(причем в этот момент падает интернет на вин2003 Сервер, перезапуск служб, соединений и ПО, отвечающего за раздачу инета не помогает, только ребут. По Вин2003 помочь сможете?)
1. "Ошибка при попытке прямого доступа к файлу"
не дословно, но я думаю вы эту ошибку знаете. если нет - простите, пойду смотреть еще раз.
IceSword этот файлик не видит.
2. сделано
3. отключил, но он кажется безопасный?
4. удалил, но Нод был отключен. оставлен был по причинам человеческого фактора.
5. обновлять после лечения или сейчас начинать?

логи чуть позже..

[Kuzz]

Установите AVZPM и (после перезагрузки) сделайте лог virusinfo_syscure.zip (скрипт №3)

[Чижъ]

готово

[Kuzz]

Давайте еще так попробуем:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\artioslm.cpl','');
 QuarantineFile('C:\WINDOWS\system32\artiosio.cpl','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tablet2k.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\SNTNLUSB.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
 DeleteService('cdralw');
 StopService('cdralw');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Cdralw2k.sys','');
 QuarantineFile('C:\WINDOWS\System32\ATMsrvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\spm\spmd.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Cdralw2k.SYS','');
 QuarantineFile('C:\Program Files\Alias\Maya6.0\docs\lib\Wrapper.dll','');
 QuarantineFile('C:\WINDOWS\system32\mdimon.dll','');
 QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

[Чижъ]

QuarantineFile('C:\WINDOWS\system32\artioslm.cpl', '');
QuarantineFile('C:\WINDOWS\system32\artiosio.cpl', '');

это модули программы artiosCAD

Добавлено через 13 минут

Файл закачан, спасибо!

[Kuzz]

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файл:
C:\WINDOWS\system32\DRIVERS\nvmini.sys
и сделайте ему принудительное копирование в любое удобное для вас место и Force Delete.

3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('cdralw');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
Так же прислать скопированный файл, заархивировав его с паролем virus.

[Чижъ]

уже писал

IceSword этот файлик не видит.

[Kuzz]

А какие файлы DrWeb лечит?

[Чижъ]

22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - инфицирован Trojan.DownLoader.62110
22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - инфицирован Trojan.DownLoader.62110
22-04-2009 10:25:51 [CL] (PID = 0972) C:\WINDOWS\TEMP\wmsetup.dll - исцелен
22-04-2009 10:25:51 [CL] (PID = 0972) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ST4VC7KZ\root[1].gif - исцелен
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - инфицирован Trojan.DownLoader.62110
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - инфицирован Trojan.DownLoader.62110
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temporary Internet Files\Content.IE5\C7E9GHI7\root[1].gif - исцелен
22-04-2009 10:27:51 [CL] (PID = 1720) C:\Documents and Settings\Galya\Local Settings\Temp\wmsetup.dll - исцелен

причем еще на днях было

21-04-2009 10:56:24 [CL] (PID = 1296) C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\C5MTW1MB\root[1].gif - доступ к файлу запрещен

поставил SP3+, антивирус молчит пока.. проверка ДрВебом ничего кроме радмина не находит. прибил радмин. AVTool не запускается ни из обычного, ни из безопасного:

программа выполнила недопустимую операцию и будет закрыта

другой дистрибутив пробовал
еще симптомы:
- не отжимается "не показывать скрытые файлы и папки"
- в безопасном режиме приходится логинится ДВАЖДЫ, т.е. после первого ввода логина/пасса он еще раз высвечивает окно приветствия

[Kuzz]

Похоже, что это был Trojan-Downloader.Win32.Murlo, использовавший уязвимости системы..

- не отжимается "не показывать скрытые файлы и папки"

Это можно поправить, выполнив "Файл"->"Восстановление системы"
Скрипты №6 и 8

[Чижъ]

AVTool не запускается ни из обычного, ни из безопасного

по этому поводу комментариев не будет?
а так - как всегда низкий поклон.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены