![Фото](https://forum.drweb.com/public/style_images/master_3_/profile/default_large.png)
Новый Рут-кит?! C:\WINDOWS\system32\kdjir.exe
#1
Отправлено 07 Июль 2008 - 11:28
Сегодня в очередной раз обновил базы Др.Веб и поставил сканер на проверку.
C:WINDOWSsystem32driverssvchost.exe - был найден Trojan.DownLoader.59802.
когда выбрал "вылечить" комп ребутнулся, и после запуска исчезла инфо в Диспетчере задач - от чьего имени запущены процессы, а также код сеанса. теперь там лишь пустота.
Когда подключил инет, через некоторое время опять попытался выполнится Trojan.DownLoader.59802 (из того же места).
я стал смотреть лог Спайдергарда и нашел интересную строчку...
"BG] C:WINDOWSsystem32kdjir.exe - не удалось просканировать, доступ к файлу запрещен другой программой"
Подобное сообщение в логе Спайдергарда появилось лишь сегодня, но лишний (6) свкхост подключался уже несколько дней - я поэтому и обратил внимание...
Насколько я полагаю, здесь действуют несколько разных вирусов?
#2
Отправлено 07 Июль 2008 - 11:33
2. записываете в него полный путь к файлу C:WINDOWSsystem32kdjir.exe
3. запускаете сканер с параметрами: drweb32w.exe /copy:filelist.txt
после чего в карантине в паке infected!!! , если файл такой существует на диске, будет лежать файл kdjir.exe.dwq (не забудьте включить отображение скрытых файлов в настройках проводника)
4. полученый файл проверить на http://www.virustotal.com и, в зависимости от результата, прислать сюда http://support.drweb.com/sendnew/
--
С уважением, Pavel
#3
Отправлено 07 Июль 2008 - 11:37
#4
Отправлено 07 Июль 2008 - 11:46
Примерно так:как именно "запустить сканер" с такими параметрами
"Пуск" -> "Выполнить" -> "C:Program FilesDrWebdrweb32w.exe" /copy:filelist.txt [нажать Enter]
Кавычки нужны! Ну и если путь не тот - исправьте.
---
С уважением,
Borka.
#5
Отправлено 07 Июль 2008 - 11:57
далее запускается сканер, но ничего не находит.
путь правильный.
#7
Отправлено 07 Июль 2008 - 12:16
Какой билд сканера?"Неправильный ключ командной строки copy:filelist.txt"
"Пуск" -> "Выполнить" -> "C:Program FilesDrWebDrWeb32w.log" [нажать enter]
Покажите в заголовке: "Dr.WebR Сканер для Windows v4.хх.х (4.хх.х.ххххх)"
Интересуют ххххх
---
С уважением,
Borka.
#8
Отправлено 07 Июль 2008 - 12:21
#9
Отправлено 07 Июль 2008 - 12:59
А мне кавычки не нужны :P
"Пуск" -> "Выполнить" ->D:DrWebdrweb32w.exe /copy:filelist.txt
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru
#10
Отправлено 07 Июль 2008 - 13:12
#11
Отправлено 07 Июль 2008 - 13:14
по странному стечению обстоятельств этот лог находится в - C:WINDOWSsystem32notepad.exe %USERPROFILE%DoctorWebdrweb32w.log !!
#12
Отправлено 07 Июль 2008 - 13:17
добавляю инфо из найденного мной лога -
судя по найденному мной логу - Dr.Web® Сканер для Windows v4.44.4 (4.44.4.01280)
#13
Отправлено 07 Июль 2008 - 13:19
#14
Отправлено 07 Июль 2008 - 13:21
Так что в сканере-Изменить настройки-отчет и строчку
%USERPROFILE%DoctorWebDrWeb32W.log
замените например на C:DrWeb32W.log
Сохранить настройки.
Если не получится то откройте drweb32.ini
и замените строчку
LogFileName = "%USERPROFILE%DoctorWebDrWeb32W.log"
на
LogFileName = "C:DrWeb32W.log"
"Пуск" -> "Выполнить" ->D:DrWebdrweb32w.exe /copy:filelist.txt
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru
#15
Отправлено 07 Июль 2008 - 13:26
жаль, что Др.Веб неожиданно подвел.
#16
Отправлено 07 Июль 2008 - 13:29
Это вы с тултипа прочитали? ;)
P.S.
не смотрите на процессы.Файл с расширением *.exe.dwq появился в карантине?
P.P.S.
В filelist.txt нужно ввести полный путь
C:WINDOWSsystem32kdjir.exe
-------------------------------------------
Искренне Ваш,мистер Беляш
www.mrbelyash.narod.ru
#17
Отправлено 07 Июль 2008 - 13:30
#20
Отправлено 07 Июль 2008 - 13:34
я конечно, нуб, но все-таки не настолько, чтоб выполнять прогцесс с неправильным путем.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых