Показано с 1 по 18 из 18.

Win32/Olmarik в оперативке, nod 32 и drweb cureit не помогли (заявка № 84375)

  1. #1
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28

    Exclamation Win32/Olmarik в оперативке, nod 32 и drweb cureit не помогли

    после запуска файла setup.exe с отключённым нодом, получил проблему в виде неудаляемого виря.
    что можно сделать чтобы его удалить?
    Последний раз редактировалось a-droo; 02.08.2010 в 14:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Для начала уберите вредоносный файл из вложений.

  4. #3
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    Olejah, удалил.
    счас ещё в безопасном режиме сделаю логи на avz , тоже выложу.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Их надо сделать в обычном режиме, это возможно?

  6. #5
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    ок, счас просто решил попробовать cureit на безопасном прогнать, вобщем пишет тоже что и раньше
    процесс в памяти C:\Windows\System32\svchost.exe:684 BackDoor.Tdss.565 Обезврежен
    но после ребута нод опять ругается.

    сейчас жду пока скрипт для сборки логов на AVZ закончит свою работу.(сейчас windows запущена в обычном режиме)

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Давайте пежде чем дальше бороться, проверьтесь так - http://support.kaspersky.ru/faq/?qid=208636926, и приложите лог сюда -

    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  8. #7
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    вот все логи что я получил
    Последний раз редактировалось a-droo; 02.08.2010 в 17:25.

  9. #8
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    решил поиском прошерстить папку windows
    на наличие изменений после запуска того файла
    нашёл такое

    C:\Users\X3\AppData\Local\Microsoft\Internet Explorer\Recovery\Last Active\{FD8D26BB-9E03-11DF-99B4-DF7C730125B4}
    C:\Users\X3\AppData\Local\Microsoft\Internet Explorer\Recovery\Last Active\RecoveryStore.{9E8B8A2C-8B9F-11DF-993A-0019DBCA3B50}

    открываются 7-zip'ом
    вот скрин содержимого


    эксплорером не пользуюсь.

    также после заражения при открытии страничек в опере стало дополнительно открывать какието непонятные адреса.
    нод сразу их лочит и выскакивает окошко с примерно таким содержимым (каждый раз меняется)


    в адресной строке оперы выскакивает такое
    Последний раз редактировалось a-droo; 02.08.2010 в 17:41.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,412
    Вес репутации
    1268
    Внимание !!! База поcледний раз обновлялась 08.07.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    - Надо бы обновить базы у АВЗ.

    Лог TDSSKiller какой-то оборванный получился, повторите его.

  11. #10
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    вот TDSS и HiJack только что сделал.
    а насчёт AVZ обновлятся он отказывался, пробовал тогда обновлятся, он отказывался с двух серверов.
    сейчас обновился.
    просканю ею по новой и выложу логи

  12. #11
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    avz logs

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    1. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZPMStatus(false);
    ExecuteStdScr(6);
    RebootWindows(true);
    end.
    2. Сделайте такой лог http://virusinfo.info/showthread.php?t=78057 в режиме ordinary.
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    Aleksandra,вот

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    CureIt все еще обнаруживает вирус?
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    Aleksandra, да.
    причём обнаруживает , пишет что обезврежен.
    закрываю , потом опять откоываю cureit уже не находит(однако нод всё это время говорит что вирь есть.)
    после ребута нод опять показывает, и куре ит тоже.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Пролечитесь с помощью Dr.Web LiveCD: http://www.freedrweb.com/livecd/?lng=ru
    Сердце решает кого любить... Судьба решает с кем быть...

  18. #17
    Junior Member Репутация
    Регистрация
    02.08.2010
    Сообщений
    10
    Вес репутации
    28
    Aleksandra, тут проблема с лив сиди
    у меня стоит ОС на VHD , т.е. на виртуальном жёстком диске..
    и получается при просмотре с других ОС кроме Вин7 такая штука - С диск располагается на Е диске в виде отельного файла с расширением .vhd
    и просканировать С диск из вне не получится.
    что делать в такой ситуации?

    PS но я всё равно поставлю сканировать на ночь комп. может дрвеб умеет распаковывать этот vhd..

    Добавлено через 9 часов 2 минуты

    cure it .vhd сканировать отказывается.

    Добавлено через 3 часа 6 минут

    итак, путём размышлений по поводу этого бэкдора, вышла идея что он может находится в vhdmp.sys
    так как это тотже atapi.sys(он для жёстких дисков IDE) но для VHD(virtual hard disk)
    соответсвенно бэк туда и полез.
    до этого сканировал несколькими утилитами, одна из них (TDSS remover esageLab или ComboFix уже не помню точно) просто положила систему.. восстановление с установочного диска , с помощью chkdsk толку не давала.
    восстановил только с помощью пункта загрузка с последней удачной конфигурацией.
    после этого сканил ещё несколькими утилитами, в результате некоторые писали что есть TDSS но найти не могли, а одна нашла и во время нахождения нод начал кричать на файл C:/windows/system32/drivers/vhdmp.sys что он заражён этим olmarik'om но файл удалить не может. а тот ремовер(http://www.secureblog.info/files/TDSSKiller.rar) предложил ребутнутся и удалить этот файл.
    вобщем посмотрел свойства этого драйвера , и как оказалось он был изменён недавно.
    после этого я заменил этот файл на оригинальный, и ребутнул комп.
    результат таков
    нод молчит
    куреит молчит
    VBAantirootkit скрытых драйверов не находит (а раньше были)

    прикладываю лог
    Последний раз редактировалось a-droo; 03.08.2010 в 13:57. Причина: Добавлено

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2833
    Да, в логе антируткита никаких аномалий не видно.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) a-droo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. PDM:Trojan.Win32.Generic — Kaspersky и CureIt не помогли
      От egetmanenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.06.2012, 19:14
    2. В оперативке Win32/Olmarik
      От passion_71 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.12.2010, 10:05
    3. DRweb CureIt не срабатывает
      От iuric196 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.05.2010, 13:57
    4. drweb и касперский не помогли?
      От lobzik в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:31
    5. DrWeb - CureIT: Win32 HLLW.Gavir.ini
      От Winsent в разделе Ложные срабатывания
      Ответов: 2
      Последнее сообщение: 10.08.2007, 22:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01136 seconds with 16 queries