-
Junior Member
- Вес репутации
- 49
не понятное заражение
День добрый.
Пол года назад при работе компьютера начал глючить КИС 10. Не находил некоторые вирусы (которые нашел даже 7 версия касперского с базаамии 2008 года), жестоко тормозил работу системы, иногда выдавал ошибки. КИС был удален (переустановка не помогала), компьютер проверен на вирусы с помощью cureIT. Было найдено пару зараженных файлов, которые в принципе мной не использовались (были в кэше браузера). Системные файлы были живы здоровы. КИС установлен на место, система работала.
ПОтом однажды пришлось отцепить жесткий диск. Заодним решил проверить с помощью другого компьютера и КИС 11. Было найдено еще несколько зараженных файлов. Раскиданы они были в разных местах.
Сейчас же, была проблема с выходом в интернет через usb-модем Билайна. Приложение необходимое для запуска модема выдавало ошибку чтения памяти (как на работе при заражении програмы). Програму переустанавливал помогло не с первого раза. Потом шли пинги, но не открывались страницы. Былы произведена проверка последним cureIT было найдено опять же несколько зараженных файлов, которые я легко удалил и они больше не появлялись. Интернет после этого заработал. После этого я провел все процедуры, как написанно в правилах. КИС 11 нашел несколько червей, троянов и вирусов.
НА данный момент всё вроде бы работает, но меня напрягает что часто слетает стандартная тема winXP. Меняется на win98. К тому же иногда появляется ошибка в процессе win generic host вроде. И ошибка бывает появляется выполнения каких то програм (сидящих в temp). Ошибка сообщает о том, что процедура может быть выполнена только в 16 разрядных системах.
Вот такие вот непонятные вещи творятся.
С безопасностью в интернете вроде базово знаком, пользовался лицензионным КИС 10, а всеравно какую-то непонятную заразу цепанул
Последний раз редактировалось n1ger; 19.12.2010 в 11:28.
Причина: добавил virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
С безопасностью в интернете вроде базово знаком
тогда должны знать что ваша система нуждается в обновлении ...sp3 + все остальные обновления ...
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe','');
DeleteFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
про обновление знаю. Косяк за мной...оплошал ) руки никак не доходят чего-то.
всё сделал. Карантин вроде отправил, систему пересканировал с помощью AVZ. hiJack тоже надо логи повторить?
ошибка про 16 разрядную подсистему ms-dos осталась. Тема пока не слетала.
Текст окна ошибки следующий:
c:\docume~1\n1ger\local~1\temp\2679.exe
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0549 IP:010b OP:63 74 65 64 20 Для завершения работы приложения нажмите кнопку "Закрыть"
на это можно не обращать внимания или как? Меня дислокация приложения в папке temp напрягает.
Еще заметил, что при одной из проверок с помощью avz, где надо было подключиться к интернету во время проверки и моего отсутствия (около 15-20 минут) накапало около 3 мб тарфика. Впринципе все автообновления отключаю всегда. Бывает кстати, что по мониторингу компьютер что-то усердно качает, при этом страницы не грузятся или грузятся очень-очень медленно. Понаблюдаю за этими явлениями еще.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe');
QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
DeleteFile('C:\WINDOWS\gwdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 49
короче такая ситуация:
вот этот файл я удалил еще перед тем, как написать вам. Причем весьма тупо удалил (когда узнал что это вирус и он блокирует инет). Отключил процесс и удалил файл (атрибутов системный, скрытый только чтение на нем небыло)
этот файл
C:\Documents and Settings\n1ger\Application Data\oekx.exe
я сразу нашел как проичтал предыдущий пост, посмотрел на него (тоже атрибутов системный, скрытый и толко чтение у него нет). тут же выключил интернет, брандмауэр, все программы, антивирус и выполнил скрипт, который мне написал Olejah. После этого сделал оба лога и обнаружил следующие косяки:
- файл карантина пустой. Файлов oekx.exe и gwdrive32.exe в системе нет, но и в карантине их тоже нет. Скрипт я повторил и в карантине появилось то, что я отправил по ссылке "Прислать карантин"
- потом у меня не создался лог после выполнения скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Архив virusinfo_cure.zip создался, с двумя зараженными файлами внутри, а virusinfo_syscure.zip, virusinfo_syscure.htm, virusinfo_syscure.xml отсутствовали. До этого у меня был подобный глюк. У меня не создался с первого раза лог после выполнения скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Но тогда я подумал, что я сам пропарил. Оказывается нет.
Последний раз редактировалось n1ger; 20.12.2010 в 12:17.
-
Junior Member
- Вес репутации
- 49
=) всем спасибо ) касперским с вашими настройками проверил еще раз комп. Че смог - удалил каспер, остальное удалил сам через безопасный режим и провел процедуру лечения системы каспером 11 ) проблема решена, тему можно закрывать )
еще раз спасибо за помощь и внимание =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\n1ger\\application data\\oekx.exe - P2P-Worm.Win32.Palevo.bnyz ( DrWEB: Trojan.MulDrop1.57578, BitDefender: Trojan.Generic.KDV.90682, AVAST4: Win32:Trojan-gen )
-