lirik 0 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 Столкнулся с вирусом worm.win32.autorun.ftp, kis его находит в папках C:\windows\system32\drivers под именем sysdrv32.sys или C:\System Volume Information\_restore{98E112AC-941E-4551-891E-C66C51214A54}\RP1 под именем A0000024 (последние 2 цифры могут меняться) и говорит о спец. процедуре лечения с перезагрузкой, но после перезагрузки вирь появляется снова при полной проверке, то в одном экз. то в в двух. Кроме того кажд. день появляются вирусы: HEUR: Trojan.Win32.Generic в папке C:\System Volume Information\_restore{98E112AC-941E-4551-891E-C66C51214A54}\RP1 по именем 21.scr (цифры также варьируются). backdoor.Win32.Rbot.kpv в папке C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TSSFCDLL под именем x Х[1] Ну и еще пара вирусов, появляются как я говорил кажд. день. Обновления сегодняшние, откуда беруться вирусы я не знаю. В безопасном режиме та же картина хоть каспером 2009 хоть курейтом. Прошу помощи убить "гадов". Цитата Ссылка на сообщение Поделиться на другие сайты
INC® 165 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 17 мая, 2009 Автор Share Опубликовано 17 мая, 2009 вот логи, че то почитал чего они там пишут...ужаснулся наверное hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Alex56 4 Опубликовано 17 мая, 2009 Share Опубликовано 17 мая, 2009 1. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт -- Нажать кнопку "Запустить" begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system\dllcache.exe'); QuarantineFile('c:\windows\system\dllcache.exe',''); DeleteFile('c:\windows\system\dllcache.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Выполните еще этот скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip отправьте на newvirus@kaspersky.com Ответ сообщите. Повторите логи Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 18 мая, 2009 Автор Share Опубликовано 18 мая, 2009 скрипты выполнил, архив гада скинул, повторяю логи. После выполнения скриптов и последующих проводимых 2-х проверках kis 2009 все равно вылезают вири: worm.win32.autorun.ftp и worm.win32.autorun.fvv в папках C:\windows\system32 и C:\System Volume Information\_restore..../ все находится и лечится, но при след. загрузке снова появляются, как будто "рожает" их кто то. Сдается мне что скрипт помог (спасибо кстати за него), но не на все 100%. Может еще есть способ добить "гадов"? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 мая, 2009 Share Опубликовано 18 мая, 2009 В каких файлах из папки C:\windows\system32 находит вирусы? Пофиксить в HiJack R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru В AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы). Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 18 мая, 2009 Автор Share Опубликовано 18 мая, 2009 опять проверил новыми базами kis 2009 и вот чего нашел: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LYQFMNRG - Trojan. Win32.Buzus.axin файл x [1]- 2 шт. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QXSB0PQR - backdoor.Win32.Agent.agnr файл x [1] и файл x [2] C:\Documents and Settings\Kiril\Рабочий стол\avz4\Quarantine\2009-05-18 - backdoor.Win32.Agent.agnr файл avz00001.dta C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\LYQFMNRG - backdoor.Win32.Agent.agnr файл n6[1].txt C:\WINDOWS\system32- HEUR: Trojan.Win32.Generic – 3 шт. 87.scr (цифры варьируются). C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\QXSB0PQR - HEUR: Trojan.Win32.Generic файл x [1] третье вроде как в карантине, на всякий случ тож указал. логи прилагаю, все сделал по инструкции. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 18 мая, 2009 Share Опубликовано 18 мая, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Запакуйте файлы ComboFix и Gmer в один архив. Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 19 мая, 2009 Автор Share Опубликовано 19 мая, 2009 после рекомендаций thyrex уже 2 дня ничего нет, правда 1 раз "ломался" Generic host process for win32 services (признаки вируса, его последствия или злоупотребление торентами, последним не пользуюсь). ATF Cleaner и ComboFix не пользовался пока, жду контрольных пару дней, может без них обойдусь. Спасибо за помощь всем. Для общего развития расскажите, что у меня было примерно, чтоб в последствии вслепую не тыкаться. Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 20 мая, 2009 Share Опубликовано 20 мая, 2009 quarantine.zip отправьте на newvirus@kaspersky.com Вы это делали? Ответ получили? Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 21 мая, 2009 Автор Share Опубликовано 21 мая, 2009 Здравствуйте, dllcache.exe_ - Backdoor.Win32.Agent.agnr Детектирование файла будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. -- С уважением, ******** Вирусный аналитик Лаборатории Касперского. Меня интересует откуда снова и снова появлялись разные вирусы. Сообщение от модератора Falcon Убрал данные вирусного аналитика. Цитата Ссылка на сообщение Поделиться на другие сайты
Alex56 4 Опубликовано 22 мая, 2009 Share Опубликовано 22 мая, 2009 Проблема еще актуальна? Цитата Ссылка на сообщение Поделиться на другие сайты
dctr 0 Опубликовано 23 мая, 2009 Share Опубликовано 23 мая, 2009 еще как актуально .. у меня все тоже самое .. постоянно появляются все эти вирусы .. как будто где то засела свиноматка .. касперыч не справляется ( Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2009 Share Опубликовано 23 мая, 2009 dctr, если у Вас такая же проблема, тогда создайте свою новую тему, выполните правила оказания помощи (ссылка есть у меня в подписи), сделайте логи и прикрепите их к своему сообщению. Вмешательство в чужую тему со своими проблемами может привести к путанице. Цитата Ссылка на сообщение Поделиться на другие сайты
lirik 0 Опубликовано 23 мая, 2009 Автор Share Опубликовано 23 мая, 2009 Пока все тихо, еще раз спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.