Неизвестный Вирус
#1
Отправлено 08 Январь 2009 - 10:11
Столкнулся с проблемой. Не обновляется Dr.Web(лицензия) на сайт не заходит, так же не заходит не на один из антивирусных сайтов, онлайн сканеры тоже. Пишет, что невозможно отобразить страницу. Данная проблема на двух компьютерах. Пробовал с компа на работе, всё нормально заходит. Переустановил виндовс, всё вроде бы заработало и на сайт заходит, и обновляется drweb, но только не долго длилось это счастье. Сейчас, всё по-прежнему!
Скачивал бесплатный сканер, сканил в безопасном режиме, не чего всё чисто.
Подскажите, что делать, как быть!
Заранее, спасибо за оказанное внимание!
#2
Отправлено 08 Январь 2009 - 10:34
Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.
#3
Отправлено 08 Январь 2009 - 12:52
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#4
Отправлено 08 Январь 2009 - 13:58
#5
Отправлено 08 Январь 2009 - 14:14
Dr.Web Security Space 12.0
Windows 10 x64 + автообновления
#6
Отправлено 08 Январь 2009 - 15:36
Нет, не я занимался.Denis Karpikov Логи делали?
#7
Отправлено 08 Январь 2009 - 16:07
Вирус изменяет права на редактирование некоторых настроек (например показывать скрытые файлы в explorere). Поищи в Инете "Восстановление значений по умолчанию параметров безопасности"
#8
Отправлено 08 Январь 2009 - 16:14
#9
Отправлено 08 Январь 2009 - 16:24
Я не понимаю, почему DrWeb, которому я до сих пор доверял (с небольшой долей осторожности), никак не определяет эту вирусную dll'ку. Я себе оставил этот файлик каждый день обновляю базы и проверяю файлик, но DrWeb всё ещё его не распознал, а с помощью сервиса http://virusscan.jotti.org/ можно увидеть, какие проги его определяют.
#11
Отправлено 09 Январь 2009 - 00:45
hijackthis.rar 1,64К 181 Скачано раз report.rar 2,84К 167 Скачано разТак есть же инструкция.
Если при проверке ничего не находится, а симптомы вируса/трояна остаются (исходящий траффик, появление новых файлов, изменение размеров существующих файлов и т. п.), то нужно скачать по ссылкам ниже Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделать логи и прикрепить к теме.
Вот report`s если что не так сдела, сильно не пинайте.
#12
Отправлено 09 Январь 2009 - 02:10
И слабо пинать тоже не будем.Вот report`s если что не так сдела, сильно не пинайте.
Пофиксите в Хайджеке:
R3 - Default URLSearchHook is missing
А такое я впервые вижу:
O4 - HKCU\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32
O4 - HKCU\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
Что это!? Такое впечатление, что ИЭ 7.0 как-то подозрительно криво встал...
По логу РкУ ничего подозрительного не вижу...
Борис А. Чертенко aka Borka.
#13
Отправлено 09 Январь 2009 - 02:18
193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Doctor Web, Ltd.
#14
Отправлено 09 Январь 2009 - 02:26
Судя по айпишнику - да.193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Борис А. Чертенко aka Borka.
#15
Отправлено 09 Январь 2009 - 09:11
логи RKU/HijackThis нужно делать в обычном режиме а не безопасном. лог сканирование CureIt тоже прикрепите пожалуйста.
193.33.172.2,193.33.172.3 - это ваши DNS сервера, от провайдера?
Прошу прошение за свою безграмотность , первый раз имею дело с данным видом софта.
Вот report, в обычном режиме!!
hijackthis.rar 1,45К 162 Скачано раз report.rar 2,58К 167 Скачано раз
#16
Отправлено 09 Январь 2009 - 09:24
ЗЫЖ На всякий случай [drweb.com #751415] Пытался его отправлять вчера вечером - тикета небыло, толи тикет потерялся, толи вирус недошел... Это отправил еще раз утром
#17
Отправлено 09 Январь 2009 - 11:00
Временное решение - прописать эти строки в hosts:
87.242.72.150 drweb.com news.drweb.com products.drweb.com solutions.drweb.com
download.drweb.com support.drweb.com new-estore.drweb.com new-download.drweb.com
new-support.drweb.com
87.242.75.131 update.msk7.drweb.com
78.107.100.10 update.msk5.drweb.com
81.176.67.170 update.msk3.drweb.com
83.102.130.174 update.drweb.com
81.176.67.171 update.msk.drweb.com
209.160.33.8 update.us.drweb.com
87.242.75.130 update.msk6.drweb.com
91.121.123.94 update.fr1.drweb.com
84.204.76.121 forum.drweb.com
Неохота насиловать компутер ради одного вируса, хотя наверное придется если товарищи из дрвеба ниче не сделают...
Слегка разочарован в этом програмном продукте.
#18
Отправлено 09 Январь 2009 - 14:10
Ничего не измменилось. Попробуйте переставить ИЭ.Вот report, в обычном режиме!!
Борис А. Чертенко aka Borka.
#19
Отправлено 09 Январь 2009 - 16:02
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.
Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.
Как оказалось этот вирь есть в нескольких огранизациях уже, многие списывают его работу на глюки свичей
#20
Отправлено 09 Январь 2009 - 16:08
Слейте переносную версию каспера (avp tool) и лечите компы, потом заразу которую найдет каспер залейте вирлабу веба.У меня таже эта зараза есть. Но недетектируемые файлы были только на одном компьютере.На остальных ни следа слоумышленика, хотя службы сети и сервера отключаются, при вставке флешки аторан появляется немедленно на
ней. но вот что интересно авторан детектируется эвристикой. Что указывает на новую модификацию виря. на сайты антивирусные уже захожу (были с этим проблемы), есть подозрения что существуют проблемы с обновлением
кол-во вирей в базах не совпадает с заявленным на сайте, с версией 4,44 таже история похоже, только вот на сайте не вижу кол-ва вирусов по этой версии почему-то, что есть очень плохо и это неуважение к пользователям.
Это то, что антивирь не видел на одной из машин http://www.virustotal.com/ru/analisis/1050...f8ffee2dc032dda
Какие будут предложения по поимке и лечению заразы с учётом того что времяне ждёт, вирь распространяется по сетке, логи уже выложены другими.
http://avptool.virusinfo.info/
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых