-
Junior Member
- Вес репутации
- 63
Backdoor.Generoc.1138
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Здравствуйте!
Вирус Backdoor.Generic.1138 (выдаёт BSOD с ошибкой driver_irql_not_less_or_equal)
заранее признателен за помощь, DrWeb не справляется (между прочим лицензионный...), заражённые файлы появляются вновь.
спасибо
Дмитрий
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. в AVZ файл -- выполнить скрипт - скопировать текст в окно -- запустить
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('C:\WINDOWS\winwd.exe','');
DeleteFile('C:\WINDOWS\winwd.exe');
AutoFixSPI();
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки прислать карантин по Приложению 2 правил. Номер темы - 7725
Последний раз редактировалось PavelA; 31.01.2007 в 18:44.
Причина: Добавил файлы в скрипт
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
здравствуйте,
после выполнения скрипта компьютер не загружается, даже в safe mode, так что прислать карантин не представляется возможным
-
Увы
Придётся ставить пиво знакомому компьютерщику. Ещё не всё потеряно, можно подключить диск к другому аппарату и посмотреть, что там творится.
Кстати, как именно выглядит "не загружается"?
-
-
Junior Member
- Вес репутации
- 63
с пятого раза загрузился
какие файлы присылать в карантине? там список задать надо...
зы. у меня на подобные случаи образы залиты, так что ничего. когда начались проблемы, я восстановил с образа и теперь не могу понять: он что, уже давно у меня в компе сидел? потому что тогда, после восстановления, проблема осталась.
-
Junior Member
- Вес репутации
- 63
так, понял. сейчас выложу
-
Junior Member
- Вес репутации
- 63
-
Файлы в карантине - чистые. С первого раза не попал. Возможно, из-за удаления winwd.exe и были проблемы с загрузкой РС.
Больно уж названия у этих файлов подозрительные.
В AVZ попробуй поискать netlock.dll. Если найдешь, отправь на проверку.
и попробуй там же выполнить скрипт:
begin
AutoFixSPI();
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
файл закачал, скрипт выполнил (оно говорит просто "выполнено" и всё).
это что выходит что следов вируса нет? что-то даже не радуюсь. если опять заглючит придётся по новой всю проверку и три лога выкладывать...
-
Файл проверил - чистый. Только одно подозрение от VBA.
Ждите, еще кто-нибудь посмотрит.
Строчку с reset5 в HijackThis можно профиксить. Он с SP2 не нужен.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
вот опять вылез вирус. я так сделаю: drweb-ом не буду чистить, сделаю сразу avz, тогда может в логе что будет. выложу три лога потом, вдруг получится
-
elangelo только логи делайте с открытым окном браузера Internet Explorer.
-
-
Junior Member
- Вес репутации
- 63
попробую, но есть нюанс:
1. вот сейчас стал гнать avz - так при наличии подключения к сети (у меня выделенка) она не может закончить проверку - перезагружается явно из-за вируса, который не даёт себя удалить. если же отключить сетевуху (у меня ноут), то всё идёт нормально, но и вируса backdoor она уже не видит - только подозрения на троян в паре файлов. я исключаю вариант что вирус приходит по сети потому что у меня по свичу два компьютера на одном адресе, и на втором тьфу тьфу всё окей. так что он может сидеть где-то в сетевых настройках, потому что
2. я даже пытался удалить в системе сетевые устройства, думал, что все глюки из-за них. безуспешно! не удаляется ни драйвер сетевухи, ни драйвер ранее у меня установленного вай-фай (именно в его установочном файле и есть подозрение на троян), винда сообщает "возможно это устройство необходимо для загрузки"
так что я думаю что в этом вся проблема и как-то надо это вычистить, но как...
ну вот. короче первый лог с сетью не получится (а что толку от окна интернет эксплорера если он ничего не может отобразить), а вот остальные два лога сделаю с включённой сетью (правда, в первый раз тоже так же сделал - и вот, говорят, всё чисто)
-
elangelo, отключите интернет, откройте окно браузера и зделайте два последних лога из правил.
-
-
Junior Member
- Вес репутации
- 63
выкладываю логи. как всегда ничего подозрительного кроме подозрения на другой вирус в установочном файле wifi как я говорил (могу прислать карантин), кроме того во время выполнения второго скрипта получил в п.6 что "проверка TCP отменена пользователем" - это опять вирус шалит, чтобы его в сетевых компонентах не нашли??
1й лог сделан с окном IE без сети, последние с сетью и IE.
Ещё был бы признателен если бы кто-то прокомментировал то что я сказал выше про сеть.
Спасибо.
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Интересный вопрос возник: где доктор Веб находит вирус?
Скрипт, что я посылал, отработал нормально. Лог стал выглядеть приличней.
и еще один момент - программы от Tropical Software сами ставили? М.б. в их настройках поковыряться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
в каталоге documents and settings. например: C:\Documents and Settings\All Users\Документы\SharedDocs.exe
спайдер даже залез в каталог avz и вылечил файл, лежавший в карантине)))
tropical software - не припомню. кажется нет.
так что же делать теперь вообще и с сетевухами в частности?
-
Junior Member
- Вес репутации
- 63
ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять
-
elangelo,
AVZ -> Файл -> Выполнить скрипт:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\sdaemon.exe','');
QuarantineFile('\SystemRoot\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7725_quarantine.zip');
RebootWindows(true);
end.
После перезагрузки, пришлите по правилам файл virusinfo_7725_quarantine.zip
-
-
Сообщение от
elangelo
ещё мне нравятся такие места в логе spider:
29-01-2007 09:36:31 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован BackDoor.Generic.1138
29-01-2007 09:36:33 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - исцелен
29-01-2007 09:36:34 [CL] C:\Documents and Settings\All Users\Документы\Adobe PDF 6.0\Data\Data.exe - инфицирован
забавно, как сразу вирус появляется опять
Заплатки на систему все стоят? Пароль администратора случайно не пустой? Диск C не расшарен в сеть?
-