-
Junior Member
- Вес репутации
- 57
Не работает сканер Dr.web и тд.
Несколько дней назат стал замечать баги.
На дисках авторана нет, а на флешке постоянно появляется. Система: удалил-вынул/вставил-удалил-...
Дальше хуже:
Началось всё с того, что ни с чего ни стого начало устанавливаться что-то косящее под офис.
после чего штатный Dr.web начал поругаться на вирусню, нажал несколько раз вылечить, потом удалить.
Итог исчез explorer как факт (в папке винды файл есть, но при попытке запустить вылетает сообщение что он не найден)
Тыкался, перегружался в безопаснике, не помогало. После 10-го reset explorer появился.
Решил проверить полностью систему, запустил Dr.web, тот подумал несколько секунд и выдал: "произошла ошибка..." AppName drweb32w.exe 4.44.5.3270 ModName kernel32.dll Нажимаешь отладку или не отправлять отчёт - 50/50 либо просто закрывается либо уходит на перезагрузку как с резета.
Скачал CureIT, то же самое. Загрузил каспера, нашел 11 тварей, проблема с вебом осталась. Загрузился в безопасном, CureIT заработал нашел еще 2 твари, каспер промолчал.
В обычном режиме сканер Dr.web так и не работает, заметил процессы hpdarc.exe и AcroRd32.exe которых раньше не было вроде, хотя появляются не всегда. ctfmon.exe вызывает большое подозрение.
Когда отключал восстановление системы заметил: каждый раз когда я включаю проводник Dr.web выдает C:\Documents and Settings\Сергей\Local Settings\Temp\rdl100.tmp - инфицирован Win32.HLLW.Autoruner.6317
первый раз вылечил, второй и последующие разы удалял.
Хотя на флешке после каспера вирус исчез.
Вроде всё, вроде подробно.
Бен, это Данила, ай нид ин хелп!
Последний раз редактировалось Sergei ya; 07.12.2010 в 20:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\Abel_System_Service\Abel.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\Abel_System_Service\Abel.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_DeleteSvc('Abel');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=47905
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Файл сохранён как 090614_201309_virus_4a352195229e4.zip
Размер файла 320136
MD5 82afa5e8f46095e386c102fb48b6e7d2
Логи 2 и 3 прилагаю, лог 1 в процессе (делается порядка 2х-3х часов )
После выполнения лога в авз вылетело сообщение rdl4.tmp.exe ошибка и тд. хотел проигнорировать но на перезагрузку не уходит. Нажал не отправлять вылетело "Runtime error216 at 00403396" после этого вылетело ошибка обрашения к памяти.
Перегрузился.
В скрипте увидел Abel. Примерно пол года назад обращался к вам за помощью, в ходе лечения меня просили найти и прислать файл с таким именем. Поиск как через авз, так и через винду и другие методы результатов не дал.
Последний раз редактировалось Sergei ya; 07.12.2010 в 20:41.
-
Ничего зловредного в логах нет. Что с проблемами?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 57
Сканер drweb успешно запустился. Сейчас обновлю базы и сделаю полную проверку. Спасибо за скорость и 100% результативность!
-
Junior Member
- Вес репутации
- 57
Досылаю повторный лог syscure.zip.
Логги syscheck.zip и hijackthis.log повторил после окончания syscure.
Сори что не сразу, технические неполадки (чубайс и гейтс главные негодяи в этом мире )
Внешние признаки проблемы вроде исчезли.
Последний раз редактировалось Sergei ya; 07.12.2010 в 20:41.
-
msvcrt57.dll - Trojan-PSW.Win32.WebMoner.gj,
svchost.exe_ - Worm.Win32.Downloader.aje
Детектирование файлов будет добавлено в следующее обновление.
Удалите Bonjour http://virusinfo.info/showthread.php?t=27923
Установите Service Pack 3 (может потребоваться активация) + последующие обновления.
Установите Adobe Reader 9.1 или деинсталлируйте старый.
В логах ничего плохого.
-
-
Пароли только от платежных систем лучше сменить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Спасибо всем хелперам!
Bonjour удалил, правда так и не понял из описания поста какой вред он может причинить. (а хотелось бы)
Adobe Reader 9.1 скачал с оф сайта, установил (рашин как всегда в пролете: пока не установишь английскую версию, русская вылетает с ошибкой при установке)
Пароли от платежных систем не имею впринципе => менять нечего.
Service Pack 3 установлю после защиты диплома (сама переустановка винды час от силы, а вот все программы, как показала практика ...)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.Downloader.aje
- c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.gj ( DrWEB: Trojan.DownLoad.5244 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.gen ( DrWEB: Trojan.PWS.Panda.122 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-