96 ответов в этой теме

[Joe]

Здравствуйте!
Сегодня в очередной раз обновил базы Др.Веб и поставил сканер на проверку.
C:WINDOWSsystem32driverssvchost.exe - был найден Trojan.DownLoader.59802.
когда выбрал "вылечить" комп ребутнулся, и после запуска исчезла инфо в Диспетчере задач - от чьего имени запущены процессы, а также код сеанса. теперь там лишь пустота.
Когда подключил инет, через некоторое время опять попытался выполнится Trojan.DownLoader.59802 (из того же места).

я стал смотреть лог Спайдергарда и нашел интересную строчку...
"BG] C:WINDOWSsystem32kdjir.exe - не удалось просканировать, доступ к файлу запрещен другой программой"
Подобное сообщение в логе Спайдергарда появилось лишь сегодня, но лишний (6) свкхост подключался уже несколько дней - я поэтому и обратил внимание...

Насколько я полагаю, здесь действуют несколько разных вирусов?

[Pavel Plotnikov]

1. создаете рядом со сканером текстовой файл, например filelist.txt
2. записываете в него полный путь к файлу C:WINDOWSsystem32kdjir.exe
3. запускаете сканер с параметрами: drweb32w.exe /copy:filelist.txt

после чего в карантине в паке infected!!! , если файл такой существует на диске, будет лежать файл kdjir.exe.dwq (не забудьте включить отображение скрытых файлов в настройках проводника)

4. полученый файл проверить на http://www.virustotal.com и, в зависимости от результата, прислать сюда http://support.drweb.com/sendnew/


--
С уважением, Pavel

[Joe]

я понял суть, но вот третий пункт вызывает у меня некоторое недоумение - как именно "запустить сканер" с такими параметрами (да, я нуб).

[Borka]

как именно "запустить сканер" с такими параметрами

Примерно так:
"Пуск" -> "Выполнить" -> "C:Program FilesDrWebdrweb32w.exe" /copy:filelist.txt [нажать Enter]
Кавычки нужны! Ну и если путь не тот - исправьте.

---
С уважением,
Borka.

[Joe]

"Неправильный ключ командной строки copy:filelist.txt"
далее запускается сканер, но ничего не находит.
путь правильный.

[AndreyKa]

Лучше, сразу сюда:
http://helpme.virusinfo.info/

[Borka]

"Неправильный ключ командной строки copy:filelist.txt"

Какой билд сканера?
"Пуск" -> "Выполнить" -> "C:Program FilesDrWebDrWeb32w.log" [нажать enter]
Покажите в заголовке: "Dr.WebR Сканер для Windows v4.хх.х (4.хх.х.ххххх)"
Интересуют ххххх

---
С уважением,
Borka.

[Borka]

Лучше, сразу сюда:

Сюда ближе и надежнее: http://support.drweb.com/request :)

---
С уважением,
Borka.

[mrbelyash]

"Кавычки нужны"

А мне кавычки не нужны :P
"Пуск" -> "Выполнить" ->D:DrWebdrweb32w.exe /copy:filelist.txt
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru

[Joe]

не могу выполнить эту команду - пишет что не существует такого путифайла (хотя он есть).

[Joe]

...?! в папке с Др.Вебом вообще нет этого лога!

по странному стечению обстоятельств этот лог находится в - C:WINDOWSsystem32notepad.exe %USERPROFILE%DoctorWebdrweb32w.log !!

[Joe]

.... посмотрел с самом Др.Вебе (о прграмме) - 4, 44, 4 1280

добавляю инфо из найденного мной лога -
судя по найденному мной логу - Dr.Web® Сканер для Windows v4.44.4 (4.44.4.01280)

[Joe]

мне тоже не нужны кавычки - тем не мнее, процесс все равно не выпоялняется, с кавычками или без них.

[mrbelyash]

А ЛОГ храниться в юзер профайле,но троян наверное снес его.
Так что в сканере-Изменить настройки-отчет и строчку
%USERPROFILE%DoctorWebDrWeb32W.log
замените например на C:DrWeb32W.log
Сохранить настройки.

Если не получится то откройте drweb32.ini
и замените строчку
LogFileName = "%USERPROFILE%DoctorWebDrWeb32W.log"
на
LogFileName = "C:DrWeb32W.log"

"Пуск" -> "Выполнить" ->D:DrWebdrweb32w.exe /copy:filelist.txt
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru

[Joe]

спасибо, попробую.

жаль, что Др.Веб неожиданно подвел.

[mrbelyash]

"по странному стечению обстоятельств этот лог находится в - C:WINDOWSsystem32notepad.exe %USERPROFILE%DoctorWebdrweb32w.log !!"


Это вы с тултипа прочитали? ;)

P.S.
не смотрите на процессы.Файл с расширением *.exe.dwq появился в карантине?
P.P.S.

В filelist.txt нужно ввести полный путь
C:WINDOWSsystem32kdjir.exe
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru

[Joe]

да, именно.

[Pavel Plotnikov]

Покажите полный путь к каталогу куда устанолен у вас антивирус (например, с:тра-ля-ляdrweb)
--
С уважением, Pavel

[Pavel Plotnikov]

по странному стечению обстоятельств этот лог находится в - C:WINDOWSsystem32notepad.exe %USERPROFILE%DoctorWebdrweb32w.log

Это не странно, это нормально.
--
С уважением, Pavel

[Joe]

C:Program FilesDrWeb

я конечно, нуб, но все-таки не настолько, чтоб выполнять прогцесс с неправильным путем.