Сначала комп ругнулся, что какое-то приложение FLASH допустило ошибку и будет закрыто.
Затем NOD32 ругнулся вирусом Win32\TCPZ.A приложение на файл C:\Windows\system32\drivers\srwsvc.sys (событие в новом файле, созданном приложением c:\patch.exe) и что он будет помещен в карантин
Затем в логах вируса Nod32 есть еще один Win32\CMDOW.143 приложение
при обоих в разделе "Действие" стоит "Ошибка при очистка - действие недоступно"
Затем окна интернет-браузера стали медленно открываться, хотя аудиопоток через интернет идет нормально и аська работает
Последний раз редактировалось goutsoullac; 31.07.2009 в 04:20.
Причина: опечатка
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Description
Win32/Tcpz.A is a trojan that is usually installed and run as a malware component by other malware such as Win32/IRCBot or Win32/Rbot variants.
Back to top
Method of Infection
Win32/Tcpz.A is often dropped and run by other malware such as Win32/IRCBot or Win32/Rbot variants, to further their malicious activities on a compromised system. It is usually dropped as "sysdrv32.sys" in the %System%\drivers\ folder.
The malware that drops Win32/Tcpz.A then registers the .SYS file as a device driver, adding either the following registry entries:
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Ty pe = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\St art = 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Er rorControl = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Im agePath = "%System%\drivers\sysdrv32.sys"
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Di splayName = "Play Port I/O Driver"
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Gr oup = "SST miniport drivers"
or these registry entries:
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Ty pe = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\St art = 0x00000003
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Er rorControl = 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Im agePath = "%System%\drivers\sysdrv32.sys"
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Di splayName = "Host Port I/O Driver"
HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32\Gr oup = "SST miniport drivers"
Note: %System% is a variable location. The malware determines the location of the current System folder by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; for XP and Vista is C:\Windows\System32.
Добавлено через 5 часов 57 минут
Да, вот что. Перед созданием логов сканировал систему в безопасном режиме Dr. Web CureIt!, но он ничего не показал, удалив несколько троянов. Далее комп вел себя также.
Затем, уже после отправки запроса Вам, решил на ночь проверить и AVPTool'ом, и он сразу же нашел:
Net-Worm.Win32.Kolab.def
Worm.Win32.AutoRun.ezt
Trojan-Clicker.HTML.IFrame.aga
Притом вставив затем флешку, на ней также обнаружился Net-Worm.Win32.Kolab.def
Т.е. ДокторВеб и Нод не видели, а собственно Касперский помог.
Теперь якобы все работает нормально. Сообщения о Win32\TCPZ.A не появлялось.
Но ведь этого вируса в списке обнаруженых не было
Если надо, то логи чуть позже вышлю. Но пока прошу не удалять тему.
Добавлено через 1 минуту
Последний раз редактировалось goutsoullac; 31.07.2009 в 10:58.
Причина: Добавлено
После того, как сделал логи диагностики по пункту 2 НОД выдал
c:\windows\system32\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
c:\documents and settings\user.comp.000\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
C:\WINDOWS\system32\ms18_word.exe - модифицированный Win32/Kryptik.ZJ троян
Якобы он их затем удалил, но при перезапуске системы вновь обнаружил вирус и поставил его на карантин
Все равно пропадал минут через 10 интернет (но аська продолжала работать). Снес НОД32 и установил Нортон Антивирус 2010 Бета и он обнаружил C:\windows\msudp32.exe (W32.Spybot.Worm). После его удаления (с сообщением что после загрузки) интернет страницы снова стали открываться и скорость стала нормальная.
. Пока сканирую систему им. Далее сообщу.
P.S. Нортон нашел несколько частей W32.Spybot.Worm и сообщил, что удалил. Но так как при перезагрузке сонар Нортона вновь выдал сообщение о помещении в карантин bna.tmp, bnb.tmp, думаю, что он не удалился. c:\windows\system32\ms18_word.exe и дальше заражен.
Последний раз редактировалось goutsoullac; 01.08.2009 в 12:25.
Причина: дополнение
Всего два раза после лечения произошел BSOD - 0x000000F4
Может он быть связан с этим вирусом или это уже что-то другое?
Ошибка эта у меня появляется как следствие
Сбой при запуске службы "Windows User Mode Driver Framevork" из-за ошибки
Служба не ответила на запрос своевременно (код 7000)
или
Таймаут (300000 мс) ожидания для службы "Windows User Mode Driver Framevork" (Код 7009).
Также в устройствах указывается ошибка SM Контроллера шины (но оно давно так стоит и ошибок раньше не было).
Вот данные о проблемном устройстве:
ID устройства PCI\VEN_10DEDEV_00E4SUBSYS_813F1043REV_A1\3267A616 A009
Статус 0x01802400 Has Problem
Проблема 0x0000001c (28 )
PCI шина 0, устройство 1, функция 1
Номер шины 0x00000000
Описание SM контролер шины
Минидампы не сохраняются, поэтому определить драйвер не могу.
Файл подкачки - 1920 -3840 Мб
Свободно - 28188 Мб
ОЗУ - 1,25 Гб
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: