Бальторо Опубликовано 23 августа, 2009 Опубликовано 23 августа, 2009 Всем привет! В общем такое дело. 2 года система (windows xp sp2) работала без сбоев, страшных вирусов не хватала, KIS стоял стеной. Вчера, по "совету" все того же KIS, который в ходе сканирования рассказал мне, что-де, уязвимости в таких-то файлах, вот вам ссылка на заплатку (на сайте с описаниями, конечно же), я таки задумался о безопасности (зачем-то) и поставил пару заплаток (зачем-то). Одна заплатка была для Винды, другая - для паверпоинта (остальные че-то не подошли, на этом мой энтузиазм с заплатками кончился). Обновил пару ПО (Java в частности), все с официальных сайтов. Полет нормальный. Следом же, еще раз подумав о безопасности, установил Acronis True Image, сделал пару резервных копий. Думал, мало ли. Мало ли оказалось в тот же вечер. В какой-то момент при обновлении одной из программ (FileDownloader) ЦПУ подскакнула до 100%, и Касперский занимал в этом процессе где-то половину. Минут 10 оно так повисло-повисло вместе с обновлением, мне надоело, я перезагрузился. Перезагруженная Винда встретила меня без привычного трея Касперского, что напрягло сразу же. Жду запустить - не грузится. Ну я как-то не подумав (ох) полез в интернет и сразу же пожалел, потому что что-то начало скачиваться. Захожу на диск С - опа, вот и какие-то прекрасные неизвестные файлы валяются. Отрубаю интернет. Хард начинает подкрякивать систематически. Ну все, думаю. Приехал. Кое-как зарубил процессы, включил Касперского, перезагрузился. Касперский долго кричал, чистил, исправлял, удалял, но ничего не выходило. Среди прочего он обнаружил: Trojan-Dropper.Win32.Agent.awwv, Packed.Win32.Katusha.b, Trojan-GameThief.Win32.OnLineGames.abrf.a, Worm.Win32.AutoRun.afcb. Запускал Хайджек, пытался пофиксить подозрительные записи - не выходило. После перезагрузки все оставалось на месте. В итоге спал тот же Акронис - восстановил систему по недавно созданной копии. Полет вроде нормальный. Но! Сейчас, при попытке скачать торрент (любой, проверял на многих), Касперский начинает кричать, что в скачиваемом файле обнаружен Packed.Win32.Katusha.b (пруфпик). Клиент utorrent, скачал и заменил на всякий с официального сайта еще раз, проверил упоминания в регистре - ничего такого страшного. Но ведь как-то добавляется вредоносный код? Файлы, скачанные через DC-клиент, браузер и download master, ведут себя пристойно, Касперский не кричит. В общем, я даже теряюсь. Сначала от такого изобилия, теперь вот из-за Катюши. Жду вашей помощи Спасибо заранее. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
Falcon Опубликовано 23 августа, 2009 Опубликовано 23 августа, 2009 Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\RbmuthC.dll',''); QuarantineFile('C:\WINDOWS\system32\RtmutrC.dll',''); QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL',''); DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL'); DeleteFile('C:\WINDOWS\system32\RtmutrC.dll'); DeleteFile('C:\WINDOWS\system32\RbmuthC.dll'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Также повторите логи AVZ.
Бальторо Опубликовано 24 августа, 2009 Автор Опубликовано 24 августа, 2009 В quarantine.zip "не найдено ничего вредоносного". При этом Касперский ругался (и продолжает ругаться) на файлы в карантине (не на архив) - пишет, что обнаружен Backdoor.Win32.PcClient.bgxm. Проблема с Катюшей не решилась - всё мерещится в торрентах. virusinfo_syscheck.zip virusinfo_syscure.zip gmer.log
snifer67 Опубликовано 24 августа, 2009 Опубликовано 24 августа, 2009 (изменено) Удалите все файлы в папке avz-quarantine. Изменено 24 августа, 2009 пользователем snifer67
thyrex Опубликовано 24 августа, 2009 Опубликовано 24 августа, 2009 (изменено) snifer67, aujasnkj.sys - это драйвер gmer Бальторо, Backdoor.Win32.PcClient.bgxm детектит в карантине AVZ Изменено 24 августа, 2009 пользователем thyrex
Бальторо Опубликовано 24 августа, 2009 Автор Опубликовано 24 августа, 2009 Удалил карантин AVZ, на которые ругался Касперский. Проверил торренты - больше не орет на Катюшу. Первое со вторым я не очень могу связать, но, видимо, связь есть и компьютер в порядке. Всем спасибо огромное
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти