Две недели безуспешно борюсь с вирем. Поймал с e-mule.
Касперский не работает. В безопасный режим не попасть.
Проги типа avz, hijackthis и iceSword "не являются приложением win32", либо просто сообщение "программа не запускается". Переименование ничего не дает.
Как только выхожу в интернет под своей уч.записью - начинаются скачки в D&S\..\APP.Data\drivers\*.exe
Cureit тоже не стартует. DrWeb LiveCD от 10.12.09 просканил, кое-что нашел, удалил, а после загрузки виндов все повторилось.
Еще я снимал винт и проверял каспером на другом компе. Удалил один файлик и всё. Но, то-ли совпадение, то-ли под действием этого же виря, после перезагрузки на том компе вылезла другая зараза про file downloader и 6-тичасовое бесплатное пользование. С ней справился.
Был у меня полиморфный АВЗ. Запустил, лог прилагаю. Еще скачал по ссылке 1.zip hijack, его тоже удалось запустить . Лог прилагаю.
Система WInXP Pro SP3 лицензионная, а в один прекр. момент при загрузке вышло офиц. требование о регистрации. Ну, я опять зарегил через ИНТЕРНЕТ, больше не спрашивала.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Попробуйте сделать логи обычным AVZ, как написано в правилах.
Безопасный режим запустился. AVZ тоже заработал. SYSCURE пустой(22 байта), а карантин пишет, что такой файл уже есть.
Выкладываю логи АВЗ.
HJT обычный пока не работает, а полиморфный новый лог приложил.
А обычный AVZ с обновленными базами в безопасном режиме запускается?
Если да, то логи переделайте.
У вас там уже что-то другое сидит.
Логи делать со вставленными флешками
Запустил и проверил Курит'ом, чисто. Запустил восстановление касперского. Прошло успешно, но перезагрузок не потребовало и в трее значка не появилось.
В безопасном режиме АВЗ переименованный не запускался (не является приложением win32). Перезагрузил в обычном режиме, скачал новый АВЗ, стартанул. Флешка воткнута. См. логи:
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы. Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Мой комп в локалке. Сейчас позвали в другой отдел. Там на компе ошибка обновления баз касперского, затем - он отключился, хотя значок в трее горит серым цветом и окно каспера пока открыто. Скачал АВЗ. Попробовал обновить там базу - тоже ошибка. Запустил проверку. Может я уже по сетке вирус раздаю?
А если отключиться, интернета не будет.
Добавлено через 10 часов 26 минут
Огромное всем спасибо. Касперского переустановил. Всё пашет. Оставил комп на проверку на ночь. Уходя, заметил 15 троянов и 1 бэгл в папке восстановления системы. Тему закрываю.
Последний раз редактировалось kapo; 22.12.2009 в 20:20.
Причина: Добавлено
virusinfo_cure.zip не надо присылать.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: