Подозрение на вирус [LOG?]

[Severus]

Симптомы такие:

Прыгает мышка, очень часто выскакивают песочные часы, хотя никаких программ не запускается в это время. Тормоза при загрузке и отключении системы... На родном хостинге обнаружился код вирусяки Exploit.JS.Pdfka.ti Стало быть попадал он туда с моего компьютера. Выполнял сканирование KIS в безопасном режиме. Ничего подозрительного не нашел.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[миднайт]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

 

- Отключите ПК от интернета/локалки

- Отключите Антивирус и Файрвол.

 

В HiJackThis пофиксите:

 

R3 - URLSearchHook: (no name) - - (no file)

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\a591s7xj.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\a591s7xj.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
BC_Activate;
DeleteFileMask('%Tmp%', '*.*', true);
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

Логи повторите.

зы. вот эти файлы проверьте на virustotal.com

C:\Downloads\Downloads\Архивы\ICQ-DreamPack-1.0.rar

C:\Downloads\Downloads\Архивы\ICQ-DreamPack-1.0\ICQ DreamPack\ICQ2003Decrypt v1.5.rar

А точнее файл ICQ2003Decrypt.dll из этих архивов.

Изменено 8 сентября, 2009 пользователем миднайт

[Severus]

Выполнил скрипт. При перезагрузке - синий экран.

Сделал, наверно, глупость... Перед созданием новых логов почистил папку LOG а там же, наверно, лежал архив "карантин"?.. В папке "карантин" пусто.

Вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[миднайт]

Давайте лог gmer сделаем. www.gmer.net

[AlexNEW]

Сделайте отчёт GetSystemInfo как пользоваться утилитой и где скачать её

Изменено 8 сентября, 2009 пользователем Alexsandr56

[Severus]

Сделайте отчёт GetSystemInfo как пользоваться утилитой и где скачать её

http://www.getsysteminfo.com/read.php?file...8aacf9f80272ce4

 

Гмер еще сканирует.

 

http://www.getsysteminfo.com/read.php?file...8aacf9f80272ce4

 

Гмер еще сканирует.

Лог от Гмера.

gmer.log

[snifer67]

Лог gmera чист.Проблемы наблюдаются ?

[AlexNEW]

Следуйте этим советам:

1 У вас есть не совместимая программа: удалите сканер антивируса Панда.

2 Обновите драйвер Intel® PRO/Wireless 3945ABG Network Connection

4 Проверьте мышку, может она у вас сломалась.

 

Активного заражения я у вас не вижу.

Изменено 8 сентября, 2009 пользователем Alexsandr56

[миднайт]

Панду деинсталлируйте или уберите ее останки из системы.

[Severus]

Следуйте этим советам:

1 У вас есть не совместимая программа: удалите сканер антивируса Панда.

2 Обновите драйвер Intel® PRO/Wireless 3945ABG Network Connection

4 Проверьте мышку, может она у вас сломалась.

 

Активного заражения я у вас не вижу.

Часики наблюдаются. Прыгать вроде не прыгает теперь.

Наблюдалось сообщение Касперского "Обнаружено: PDM.IrpTableChanged" Где, что - не понятно...

Кроме того:

 

MNSFramework.exe

eSafe 7.0.17.0 2009.09.06 Suspicious File
Comodo 2210 2009.09.08 Heur.Packed.Unknown 

IBTuner.exe

a-squared 4.5.0.24 2009.09.08 Trojan-Dropper.Delf!IK

 

От панды - это онлайн сканер у меня был...

Изменено 8 сентября, 2009 пользователем Severus

[AlexNEW]

Часики наблюдаются. Прыгать вроде не прыгает теперь.

Наблюдалось сообщение Касперского "Обнаружено: PDM.IrpTableChanged" Где, что - не понятно...

Как я понял это срабатывание проактивной защиты, посмотрите по отчётам антивируса Касперского и скорее всего он жалуется на остатки от антивируса Панда, потому что это потенциально опасные объекты.

 

Ждём ответа от вирусной лаборатории и не флудим!

Изменено 8 сентября, 2009 пользователем Alexsandr56

[Severus]

Как я понял это срабатывание проактивной защиты, посмотрите по отчётам антивируса Касперского и скорее всего он жалуется на остатки от антивируса Панда, потому что это потенциально опасные объекты.

Ну, я отчет смотрел - там даже не написано, какая служба это обнаружила... Сканер панды я чикнул... Сейчас жду ответа из вирлаба по поводу вышеописанных файлов.