-
Junior Member
- Вес репутации
- 50
Есть подозрение, что компьютер вылечен не до конца.
Началось с того, что сработала (во время «интернет-серфинга») Microsoft Security Essentials: были обнаружены и удалены Troyan:Win32/Meredrop и Troyan:Win32/Tofumanics.B.
На следующий день при перезагрузке компьютера MSE обнаружила и удалила Troyan:Win32/Simda.gen!D, потом оказалось, что не открываются антивирусные сайты, и при наборе слова «HiJackThis» вылетает explorer (не internet explorer!). После запуска combofix и чистки реестра сайты стали открываться, зловредной деятельности не наблюдается. CureIt и AVPtool ничего относящегося к проблеме не обнаружили.
Однако, настораживает присутствие в логах AVZ незапущенной службы с характерным названием «WDICA». Также, в папке temp был найден «вручную» файл, содержащий записи нажатых клавиш в браузерах. Понятно, что WDICA надо удалить. Но есть подозрение, что помимо неё ещё что-то осталось.
Как это «что-то» вычислить?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
WDICA удалять не надо.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
И лог ComboFix пришлите
— извиняюсь, а где его искать?
У меня, похоже, ComboFix самоудалился сразу после проверки…
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Логов combofix по указанному по ссылке адресу нет. В корнях всех дисков вообще нет текстовых файлов с датой создания после заражения компьютера.
Поиск файла ComboFix.txt по всему компьютеру результатов не дал.
Скачанный сегодня ComboFix после запуска пишет:
ComboFix cannot run when CA Anti-Virus is installed.
It would be dangerous to continue.
Please uninstall CA Anti-Virus.
На компьютере из антивирусов установлена только Microsoft Security Essentials. На время запуска Combofix защита в реальном времени MSE отключена.
В списке установленных программ CA Anti-Virus или чего-либо похожего нет.
-
Отчет GSI сделайте (ссылка в подписи) и сообщите нам ссылку на проанализированный отчет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Попробуйте лог ComboFix сделать в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Во всех безопасных режимах (обычном, с сетевыми драйверами, с поддержкой командной строки) результат тот же: требует удаления CA Anti-Virus'а.
Добавлено через 7 минут
Сравнил размеры файлов у того ComboFix'а, который сейчас запускаю, и у того который запускал 15.11, предварительно переименовав в «c-fix.exe», — у c-fix.exe размер на 3 Кб меньше. Сейчас попробую его запустить.
Добавлено через 17 минут
Оказалось, что c-fix.exe — старая версия. При запуске требует обновления, либо предлагает запуститься в ограниченном режиме.
При обновлении происходит то, что выше уже описано.
В режиме ограниченной функциональности не запускал.
Последний раз редактировалось baev; 22.11.2010 в 14:10.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 50
Запустил отсюда:
http://cainternetsecurity.net/KB/KD.aspx?KDId=1056
— программы удаления.
Сначала по ссылке «CA Internet Security Suite 2009» — после перезагрузки никаких изменений.
Потом — «CA Internet Security Suite 2010/Version 7». После перезагрузки ComboFix наконец запустился. Не знаю, что помогло — запуск remove tool или то, что ComboFix сообщил о новой версии и обновился.
Лог прилагаю.
-
f:\windows\system32\winsflte.dl1
f:\windows\system32\winsflt.dl1
Что за папки?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
thyrex
Что за папки?
— пустые, аттрибуты — обычные.
Время последнего изменения:
22.11.10 16:14
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Удалил.
Добавлено через 29 минут
Всё?
Или ещё что-то?
Последний раз редактировалось baev; 23.11.2010 в 00:19.
Причина: Добавлено
-
Больше придраться не к чему. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Пока ничего «криминального» не наблюдается.
Спасибо.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Не знаю, на сколько это связано с проблемой:
Сообщение от
thyrex
— скопировал из текста по ссылке «Combofix /Uninstall» (браузер IE8), попробовал вставить в поле «Открыть» на форме «Пуск->Выполнить».
Получил сообщение от «JIT-отладчика Visual Studio» о том, что «Необработанное исключение win32 произошло в "explorer.exe [2972]"». После отмены отладки форма пропадает.
Если пробовать вставлять сначала мышью, а потом (после отмены отладчика) по «Ctrl+V» (и наоборот: сначала по «Ctrl+V») ошибок не выдаётся, всё вставляется.
То же самое происходит при попытке вставить и другие словосочетания — но не все, выявить закономерность не удалось.
Из firefox вставляется без проблем. Похоже, дело в IE.
Попробую после удаления Combofix установить IE заново.
Добавлено через 1 час 2 минуты
Удалил Combofix, переустановил IE, пока проблем не наблюдаю.
Добавлено через 16 минут
Не, проблемы всё-таки есть: не запускаются firefox и thunderbird.
В процессах висят, но окошки не открываются.
Добавлено через 1 час 18 минут
Поскольку программы не запускались ни в безопасном режиме ни с пустыми профилями, пришёл к выводу, что дело в самих программах.
Установка firefox поверх не помогла. Сравнение файлов с той же версией программы на другом компьютере показало, что часть файлов различается по содержанию (даже — при одинаковом размере). Например: freebl3.chk, softokn3.chk, nssdbm3.chk (в обеих программах). После замены файлов — заменял папки полностью, на случай, если дело в правах на файлы, — программы заработали.
«Проблемные» файлы сохранил, нужны ли они для анализа?
Последний раз редактировалось baev; 23.11.2010 в 22:49.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-