-
Junior Member
- Вес репутации
- 54
Проблема. PDM.IrpTableChanged и Trojan-Clicker.Win32.Costrat.gb
Добрый день!
Есть две проблемы.
1. Каспер Интернет секур 2010 при загрузке компьютера ругается что обнаружено действие, похожее на PDM.IrpTableChanged, однако никаких действий не дает совершать с ней
2. При запуск полного сканирования компа, КИС сразу же выдает Trojan-Clicker.Win32.Costrat.gb в системной памяти. Предлагает удалить и перезагружает компьютер, но после перезагрузки - все по новой.
При этом видит он его только когда запускаю проверку. Больше ни при каких действиях не ругается. Также неясно откуда она села в комп, если при установке и после нее комп каждый день тестился в полную на вирусы, и защита не отключалась никогда, кроме как для сбора информации для этой темы.
Логи прилагаю
Последний раз редактировалось filipsfilips; 10.10.2009 в 19:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Это из-за эмулятора CD/DVD привода.
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\Drivers\PRODIGY.SYS','');
DeleteService('UIUSys');
QuarantineFile('C:\WINDOWS\System32\drivers\635820.sys','');
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Прочтите: http://virusinfo.info/showpost.php?p=386579&postcount=1
Обновления безопасности на Windows надо устанавливать.
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнен, файл из карантина отправлен по запросу, используя указанную ссылку.
Выполнена процедура, описанная в конце поста - вот ссылка на мой пост в соответствующей теме-
http://virusinfo.info/showpost.php?p...postcount=3032
Имя архива - 090921_202652_virusinfo_files_MICROSOF-0A8026_4ab7a94c6bea1.zip
-
Junior Member
- Вес репутации
- 54
-
В присланных файлах ничего подозрительного нет.
На Windows обновления безопасности установлены?
Если включить компьютер с отключённой сетью и запустить полное сканирование, КИС обнаружит Trojan-Clicker.Win32.Costrat.gb в системной памяти?
-
-
Junior Member
- Вес репутации
- 54
С обновлениями Windows разобрался по Вашей ссылке. Все обновил, установил.
Сканирование с отключенной сетью также показало все тот же вирус в памяти.
Т.е. ничего не изменилось. более того. иногда при перезагрузке компьютера выскакивает сообщение об ошибке svchost.exe - память не может быть read, а также самопроизвольно сбрасывается интернет-подключение (ADSL). Общение с провайдером закончилось тем, что провайдер сказал, что несмотря на то что интернет на компьютере исчезает, с компьютера идет большой исходящий трафик, т.е. провайдер видит интернет-соединения с компьютером. Однако мне помогает только перезагрузка модема, и то на 15-20 минут. Затем снова исчезает интернет, но трафик от меня идет. Стандартный индикатор обмена пакетами при этом не мигает
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\635820');
QuarantineFile('C:\WINDOWS\System32\drivers\635820.sys','');
ExecuteRepair(16);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
-
-
Junior Member
- Вес репутации
- 54
Выполнил.
Карантин пуст
Повторял трижды.
Хотя при проверке C:\WINDOWS\System32\drivers\635820.sys - файл присутствует
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\635820.sys','');
DeleteService('635820');
BC_DeleteSvc('635820');
DeleteFile('C:\WINDOWS\System32\drivers\635820.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 54
Пока дожидался ответа, установил Avast!, и запустил дозагрузочную проверку.
Обнаружил Win32:RustNT [Rtk] в файле C:\WINDOWS\System32\drivers\635820.sys, который Вы указали в скрипте к карантину и удалению.
Антивир удалил его, т.к. никакие другие действия не осуществлялись.
После этого исчезло сообщение о PDM.IrpTableChanged (оно продолжало возникать, несмотря на то что я удалил все виртуальные СД)
и Хваленый Каспер, купленный за деньги перестал обнаруживать в памяти Trojan-Clicker.Win32.Costrat.gb.
Вот так бесплатный антивирь справился с проблемой, судя по всему, побив платного Каспера.
Все равно выполнил указанный скрипт и сделал лог из пункта 2 AVZ
На всякий случай отправляю запрошенный лог, дабы убедиться что все в порядке.
Спасибо за содействие в решении проблемы.
Последний раз редактировалось filipsfilips; 10.10.2009 в 19:53.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-