Здравствуйте, сразу извините что так подробно описываю проблему, ибо наболело, 3й день долбаюсь
позавчера случилась такая проблема: во время работы в Opera выскочил kis с сообщением:
обнаружено: потенциально опасное ПО Private data and passwords access Процесс: C:\Program Files\Opera\Opera.exe
после чего я запустил проверку, в результате которой удалил несколько системных драйверов по требованию Каспера, вот полный лог:
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\aec.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\arp1394.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\asyncmac.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\atmarpc.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Cdaudio.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\dmusic.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\drmkaud.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\epiusb.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ip6fw.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipfltdrv.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipinip.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\ipnat.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\irenum.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750bus.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mdfl.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mdm.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750mgmt.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\k750obex.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\kbdhid.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\kmixer.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Modem.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mskssrv.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mspclock.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\mspqm.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\nwlnkfwd.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PCIDump.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PDCOMP.sys
не найдено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\PDFRAME.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\secdrv.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\Sfloppy.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\splitter.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\swmidi.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\TDPIPE.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbccgp.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbprint.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\usbscan.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wdf01000.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\WDICA.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wudfpf.sys
удалено: троянская программа Backdoor.Win32.IEbooot.fbs Файл: C:\WINDOWS\system32\drivers\wudfrd.sys
не найдено: троянская программа Trojan-PSW.Win32.Agent.mzh Модуль: opera.exe\Opera.exe
я перегрузился, и после этого нормальная работа прекратилась, так как практически сразу после загрузки explorer.exe виснет намертво, хотя программы, в частности Total Commander удается запускать с ярлыка на рабочем столе, и с помощью него управлять работой. пробовал убивать процесс explorer.exe из Диспетчера задач, запускать его снова, на какое-то время помогает, а потом он опять виснет. при этом если вообще ничего не трогать после загрузки, то его через время (от 1 до 30 минут рандомно) попускает, но потом он снова виснет, т.е. есть подозрение что внедренный в explorer.exe код периодически выполняет какие-то действия, на время которых работа explorer.exe блокируется (на правильность рассуждений не претендую )
еще заметил, что в процессах стабильно висел svchost.exe, который грузил процессор все время стабильно на 50% и занимал один и тот же объем оперативки (около 6 метров)
пробовал загружаться в безопасном режиме, там все работает нормально, вчера в нем же (в безопасном режиме) с помощью прожки autoruns от sysinternals нашел в автозапуске моего пользователя левый экзешник, отключил его и удалил ручками (точного названия увы не запомнил ). после этого в обычном режиме explorer.exe ведет себя также, а svchost.exe, грузивший проц пропал.
вирусов ни AVPTool, ни CureIt! не нашли, запускал их и в безопасном режиме, и в обычном, логи прилагаю.
помогите пожалуйста восстановить нормальную работу системы...
пс. пока писал этот опус, explorer.exe работает после очередного его перезапуска нормально, но не факт что это надолго...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
сделал, изменений нет, панель задач так же вешается после загрузки
Добавлено через 1 час 1 минуту
просканировал только что gmer-ом, выдал несколько строк подозрительного вида с записями типа:
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
может выслать весь лог, посмотрите, или пока не надо?
Последний раз редактировалось zamaranych; 04.06.2010 в 16:54.
Причина: Добавлено
гм, как интересно, теперь пока explorer.exe работает стабильно, winlogon.exe грузит проц стабильно на 50% и занимает 19900 Кб оперативки, раньше похоже вел себя svchost.exe...
В карантин ничего не попало. Скорее всего антивирус удалил зараженные файлы. Посмотрите в отчете, какие файлы были удалены и скопируйте на их место чистые.
Сердце решает кого любить... Судьба решает с кем быть...
я так понимаю сначала нужно обезвредить тело вируса, а потом уже восстанавливать удаленные файлы, а иначе смысл? все удаленные антивирусом файлы - это драйвера устройств, пытался их устанавливать с диска с драйверами, все висло намертво, поэтому оставил эту затею... как найти этого зверя, ума не приложу, ни один антивирус его не видит (( буду ковырять через ЛайвСД...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: