Неизвестный Вирус
#1
Geschrieben: 08 Januar 2009 - 10:11
Столкнулся с проблемой. Не обновляется Dr.Web(лицензия) на сайт не заходит, так же не заходит не на один из антивирусных сайтов, онлайн сканеры тоже. Пишет, что невозможно отобразить страницу. Данная проблема на двух компьютерах. Пробовал с компа на работе, всё нормально заходит. Переустановил виндовс, всё вроде бы заработало и на сайт заходит, и обновляется drweb, но только не долго длилось это счастье. Сейчас, всё по-прежнему!
Скачивал бесплатный сканер, сканил в безопасном режиме, не чего всё чисто.
Подскажите, что делать, как быть!
Заранее, спасибо за оказанное внимание!
#2
Geschrieben: 08 Januar 2009 - 10:34
Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.
#3
Geschrieben: 08 Januar 2009 - 12:52
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#4
Geschrieben: 08 Januar 2009 - 13:58
#5
Geschrieben: 08 Januar 2009 - 14:14
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#6
Geschrieben: 08 Januar 2009 - 15:36
Нет, не я занимался.Denis Karpikov Логи делали?
#7
Geschrieben: 08 Januar 2009 - 16:07
Вирус изменяет права на редактирование некоторых настроек (например показывать скрытые файлы в explorere). Поищи в Инете "Восстановление значений по умолчанию параметров безопасности"
#8
Geschrieben: 08 Januar 2009 - 16:14
#9
Geschrieben: 08 Januar 2009 - 16:24
Я не понимаю, почему DrWeb, которому я до сих пор доверял (с небольшой долей осторожности), никак не определяет эту вирусную dll'ку. Я себе оставил этот файлик каждый день обновляю базы и проверяю файлик, но DrWeb всё ещё его не распознал, а с помощью сервиса http://virusscan.jotti.org/ можно увидеть, какие проги его определяют.
#11
Geschrieben: 09 Januar 2009 - 00:45
hijackthis.rar 1,64K 181 Anzahl Downloads report.rar 2,84K 167 Anzahl DownloadsТак есть же инструкция.
Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.
Вот report`s если что не так сдела, сильно не пинайте.
#12
Geschrieben: 09 Januar 2009 - 02:10
И слабо пинать тоже не будем.Вот report`s если что не так сдела, сильно не пинайте.
Пофиксите в Хайджеке:
R3 - Default URLSearchHook is missing
А такое я впервые вижу:
O4 - HKCU\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32
O4 - HKCU\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
Что это!? Такое впечатление, что ИЭ 7.0 как-то подозрительно криво встал...
По логу РкУ ничего подозрительного не вижу...
Борис А. Чертенко aka Borka.
#13
Geschrieben: 09 Januar 2009 - 02:18
193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Doctor Web, Ltd.
#14
Geschrieben: 09 Januar 2009 - 02:26
Судя по айпишнику - да.193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Борис А. Чертенко aka Borka.
#15
Geschrieben: 09 Januar 2009 - 09:11
логи RKU/HijackThis нужно делать в обычном режиме а не безопасном. лог сканирование CureIt тоже прикрепите пожалуйста.
193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Прошу прошение за свою безграмотность , первый раз имею дело с данным видом софта.
Вот report, в обычном режиме!!
hijackthis.rar 1,45K 162 Anzahl Downloads report.rar 2,58K 167 Anzahl Downloads
#16
Geschrieben: 09 Januar 2009 - 09:24
ЗЫЖ На всякий случай [drweb.com #751415] Пытался его отправлять вчера вечером - тикета небыло, толи тикет потерялся, толи вирус недошел... Это отправил еще раз утром
#17
Geschrieben: 09 Januar 2009 - 11:00
Временное решение - прописать эти строки в hosts:
87.242.72.150 drweb.com news.drweb.com products.drweb.com solutions.drweb.com
download.drweb.com support.drweb.com new-estore.drweb.com new-download.drweb.com
new-support.drweb.com
87.242.75.131 update.msk7.drweb.com
78.107.100.10 update.msk5.drweb.com
81.176.67.170 update.msk3.drweb.com
83.102.130.174 update.drweb.com
81.176.67.171 update.msk.drweb.com
209.160.33.8 update.us.drweb.com
87.242.75.130 update.msk6.drweb.com
91.121.123.94 update.fr1.drweb.com
84.204.76.121 forum.drweb.com
Неохота насиловать компутер ради одного вируса, хотя наверное придется если товарищи из дрвеба ниче не сделают...
Слегка разочарован в этом програмном продукте.
#18
Geschrieben: 09 Januar 2009 - 14:10
Ничего не измменилось. Попробуйте переставить ИЭ.Вот report, в обычном режиме!!
Борис А. Чертенко aka Borka.
#19
Geschrieben: 09 Januar 2009 - 16:02
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.
Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.
Как оказалось этот вирь есть в нескольких огранизациях уже, многие списывают его работу на глюки свичей
#20
Geschrieben: 09 Januar 2009 - 16:08
Слейте переносную версию каспера (avp tool) и лечите компы, потом заразу которую найдет каспер залейте вирлабу веба.У меня таже эта зараза есть. Но недетектируемые файлы были только на одном компьютере.На остальных ни следа слоумышленика, хотя службы сети и сервера отключаются, при вставке флешки аторан появляется немедленно на
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.
Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.
http://avptool.virusinfo.info/
1 Benutzer lesen gerade dieses Thema
0 members, 1 guests, 0 anonymous users