Вчера позвали посмотреть компьютер на предмет вирусов. При загрузке компьютер тупил, потом выдавал ошибку эксплорера 203 и завершал процесс. Невозможно было запустить ни одну программу (эксплорер закрывался, а диспетчер задач не грузился). Загрузился с LiveCD (без антивируса), очистил папки temp и корзину. После этого эксплорер не загрузился, но я смог запустить диспетчер задач и через него avz. Проверил им комп, удалил все подозрительное (процесс svchost.exe в программах и папке windows\system32\drivers, активные процессы в System Volume Information. Был найден отладчик процесса (удалил через мастер поиска проблем).
также выполнил скрипты восстановления 1, 5, 6, 8, 9 (безопасный режим не загружается, вылетает в перезагрузку), 10, 11, 16, 17.
После этого эксплорер грузится, но начинает быстро съедать доступную память, и при использовании памяти около 1300MB перезагружается, и по новой.
Посмотрите логи, что я пропустил. Логи делал при выгруженном эксплорере.
После моих действий создался карантин. Отправил по ссылке вверху страницы.
Файл сохранён как 090721_102807_virusinfo_cure_4a655ff7a5490.zip
Размер файла 177774
MD5 f23a22ef0a2a0d80947a3c5258ceefc9
И еще: в системе установлен KIS, а в логах видны следы avast. Ранее также стоял drWeb. Помогите удалить их остатки, пожалуйста.
Последний раз редактировалось efimov.sergey; 21.07.2009 в 10:38.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
После скрипта проблемы не исчезли.
Карантин отправил как 090722_094500_virusinfo_cure_1_4a66a75cd26f6.zip
Размер файла 98890
MD5 5bfa8520b76aa9bf44021972d5b8b829
Поскольку доступа в интернет не было (компьютер не имеет подключений, вирусы здесь ни причем), проверил компьютер последней версией утилиты AVP setup_7.0.0.290_21.07.2009_07-12.exe.
Каспер нашел 11 вредоносных объектов, причем одна модификация. Поместил найденные файлы в карантин AVZ, но попали не все файлы. Этот карантин отправил как 090722_095310_2009-07-21_4a66a9461b7b2.ZIP
Размер файла 460261
MD5 e7d8f43926a08f466bbfd8f3a9999c35
После этого пролечился AVP, проблемы исчезли.
Если присланный карантин содержит новые вирусы - напишите, пожалуйста.
Спасибо за помощь.
Rene-gad, компьютер делал чужой, вечером, поэтому полный комплекс выполнить просто не успел. После первого скрипта (из поста 2) сделал лог virusinfo_syscure.zip и hijackthis.log (опять же по причине отсутствия времени). Сожалею, но это все доступные логи и карантин.
Прикрепляю.
Rene-gad, еще раз спасибо за помощь, но антивирус уже вылечил компьютер. Все указанные в вашем скрипте файлы были им детектированы и удалены. Кроме этих файлов, были найдены трояны:
C:\Program Files\Internet Explorer\rasadhlp.dll
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TDRKFA2A\20min[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TDRKFA2A\pin[1].exe
Эти файлы (то, что попало в карантин) я отправил по ссылке вверху страницы "Прислать запрошенный карантин", информация о файле:
090722_095310_2009-07-21_4a66a9461b7b2.ZIP
Размер файла 460261
MD5 e7d8f43926a08f466bbfd8f3a9999c35
Новых логов не будет, поэтому тему можно закрывать.
Все указанные в вашем скрипте файлы были им детектированы и удалены. .
В логах они присутствуют.
И потом - почему Вы уверены, что они удалены? Антивирус их не нашел? Ну помилуйте, батенька, это же детский лепет на лужайке А впрочем - Вам с бугра виднее..
Rene-gad, в логах присутствуют, т.к. логи были сделаны сразу после скрипта из поста №2. После этого я просканировал компьютер антивирусом и были найдены вирусы в файлах, указанных в посте №6 + еще 7 троянов. Следующая проверка не выявила подозрительных файлов.
Конечно, я понимаю, что без новых логов 100% гарантии чистоты нет. Но, повторюсь, я был вынужден закончить работать с этим компьютером.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: