Бальторо Опубликовано 23 августа, 2009 Поделиться Опубликовано 23 августа, 2009 Всем привет! В общем такое дело. 2 года система (windows xp sp2) работала без сбоев, страшных вирусов не хватала, KIS стоял стеной. Вчера, по "совету" все того же KIS, который в ходе сканирования рассказал мне, что-де, уязвимости в таких-то файлах, вот вам ссылка на заплатку (на сайте с описаниями, конечно же), я таки задумался о безопасности (зачем-то) и поставил пару заплаток (зачем-то). Одна заплатка была для Винды, другая - для паверпоинта (остальные че-то не подошли, на этом мой энтузиазм с заплатками кончился). Обновил пару ПО (Java в частности), все с официальных сайтов. Полет нормальный. Следом же, еще раз подумав о безопасности, установил Acronis True Image, сделал пару резервных копий. Думал, мало ли. Мало ли оказалось в тот же вечер. В какой-то момент при обновлении одной из программ (FileDownloader) ЦПУ подскакнула до 100%, и Касперский занимал в этом процессе где-то половину. Минут 10 оно так повисло-повисло вместе с обновлением, мне надоело, я перезагрузился. Перезагруженная Винда встретила меня без привычного трея Касперского, что напрягло сразу же. Жду запустить - не грузится. Ну я как-то не подумав (ох) полез в интернет и сразу же пожалел, потому что что-то начало скачиваться. Захожу на диск С - опа, вот и какие-то прекрасные неизвестные файлы валяются. Отрубаю интернет. Хард начинает подкрякивать систематически. Ну все, думаю. Приехал. Кое-как зарубил процессы, включил Касперского, перезагрузился. Касперский долго кричал, чистил, исправлял, удалял, но ничего не выходило. Среди прочего он обнаружил: Trojan-Dropper.Win32.Agent.awwv, Packed.Win32.Katusha.b, Trojan-GameThief.Win32.OnLineGames.abrf.a, Worm.Win32.AutoRun.afcb. Запускал Хайджек, пытался пофиксить подозрительные записи - не выходило. После перезагрузки все оставалось на месте. В итоге спал тот же Акронис - восстановил систему по недавно созданной копии. Полет вроде нормальный. Но! Сейчас, при попытке скачать торрент (любой, проверял на многих), Касперский начинает кричать, что в скачиваемом файле обнаружен Packed.Win32.Katusha.b (пруфпик). Клиент utorrent, скачал и заменил на всякий с официального сайта еще раз, проверил упоминания в регистре - ничего такого страшного. Но ведь как-то добавляется вредоносный код? Файлы, скачанные через DC-клиент, браузер и download master, ведут себя пристойно, Касперский не кричит. В общем, я даже теряюсь. Сначала от такого изобилия, теперь вот из-за Катюши. Жду вашей помощи Спасибо заранее. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 23 августа, 2009 Поделиться Опубликовано 23 августа, 2009 Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\RbmuthC.dll',''); QuarantineFile('C:\WINDOWS\system32\RtmutrC.dll',''); QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL',''); DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL'); DeleteFile('C:\WINDOWS\system32\RtmutrC.dll'); DeleteFile('C:\WINDOWS\system32\RbmuthC.dll'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите. Дополнительно: - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Также повторите логи AVZ. Ссылка на комментарий Поделиться на другие сайты Поделиться
Бальторо Опубликовано 24 августа, 2009 Автор Поделиться Опубликовано 24 августа, 2009 В quarantine.zip "не найдено ничего вредоносного". При этом Касперский ругался (и продолжает ругаться) на файлы в карантине (не на архив) - пишет, что обнаружен Backdoor.Win32.PcClient.bgxm. Проблема с Катюшей не решилась - всё мерещится в торрентах. virusinfo_syscheck.zip virusinfo_syscure.zip gmer.log Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 24 августа, 2009 Поделиться Опубликовано 24 августа, 2009 (изменено) Удалите все файлы в папке avz-quarantine. Изменено 24 августа, 2009 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 24 августа, 2009 Поделиться Опубликовано 24 августа, 2009 (изменено) snifer67, aujasnkj.sys - это драйвер gmer Бальторо, Backdoor.Win32.PcClient.bgxm детектит в карантине AVZ Изменено 24 августа, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
Бальторо Опубликовано 24 августа, 2009 Автор Поделиться Опубликовано 24 августа, 2009 Удалил карантин AVZ, на которые ругался Касперский. Проверил торренты - больше не орет на Катюшу. Первое со вторым я не очень могу связать, но, видимо, связь есть и компьютер в порядке. Всем спасибо огромное Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти