КуреИт удаляет то, что есть в системе, а вот то, что дроппает этот файл, похоже, КуреИт не знает.Только что сторож сказал что C:\WINDOWS\system32\iifebBrS.dll опять инфицирован, то есть файл восстанавливается с вирусом. Если он вооюще CureIt-ом был удален.
После вируса не устанавливаются программы антивирусные
#21
Отправлено 06 Январь 2009 - 22:34
Борис А. Чертенко aka Borka.
#22
Отправлено 06 Январь 2009 - 22:39
Скачайте свежий КуреИт, запустите его с ключом /shell (полный_путь_к_КуреИту\launch.exe /shell), выполните "Быструю" проверку и покажите лог (только этой проверки).Да, сканер Drweb не запускается. Пишет что это Not a Valid Win32 application. Если я нажимаю в трее сканер, то он просто не запускается.
Борис А. Чертенко aka Borka.
#23
Отправлено 06 Январь 2009 - 22:52
Да, хорошо. Сейчас посмотрел wintems.exe файла нету. УбежалСкачайте свежий КуреИт, запустите его с ключом /shell (полный_путь_к_КуреИту\launch.exe /shell), выполните "Быструю" проверку и покажите лог (только этой проверки).Да, сканер Drweb не запускается. Пишет что это Not a Valid Win32 application. Если я нажимаю в трее сканер, то он просто не запускается.
А что означает и дает этот Shell?
#24
Отправлено 06 Январь 2009 - 23:10
#25
Отправлено 06 Январь 2009 - 23:11
Не знаю, не знаю... Может, это суслик, и он спрятался...Сейчас посмотрел wintems.exe файла нету. Убежал
Ключ /shell грузит сканер без проверки памяти и стартапов. Но при "Быстрой" проверке они проверятся. Это нужно для того, чтобы избежать повторов сканирования.А что означает и дает этот Shell?
Борис А. Чертенко aka Borka.
#26
Отправлено 06 Январь 2009 - 23:14
А в безопасном режиме?Ребята, а это ПРИКОЛ. Новый КурьИт не запускается - пишет что Not a Valid Win32 Application.
Борис А. Чертенко aka Borka.
#27
Отправлено 06 Январь 2009 - 23:16
А в безопасном режиме?Ребята, а это ПРИКОЛ. Новый КурьИт не запускается - пишет что Not a Valid Win32 Application.
Безопасный режим у меня не запускается ни с сетью, ни без нее. На Myp.sys комп перезагружается. У меня и обычный с 3 раза запускается (вылетает синий экранчик, но это проблема с драйвером видео, была и до заражения, хотя драва все новые стоят).
#28
Отправлено 06 Январь 2009 - 23:29
Может я пропустил....А если курилку переименовать в xuz.pif ?А в безопасном режиме?Ребята, а это ПРИКОЛ. Новый КурьИт не запускается - пишет что Not a Valid Win32 Application.
Безопасный режим у меня не запускается ни с сетью, ни без нее. На Myp.sys комп перезагружается. У меня и обычный с 3 раза запускается (вылетает синий экранчик, но это проблема с драйвером видео, была и до заражения, хотя драва все новые стоят).
Попробуйте Gmer (на вики есть ссылка),но дучше в суппорт....
#29
Отправлено 06 Январь 2009 - 23:31
А какая материнка? Какой код БСОДа? И почему уверены, что проблема с видеодрайвером?Безопасный режим у меня не запускается ни с сетью, ни без нее. На Myp.sys комп перезагружается. У меня и обычный с 3 раза запускается (вылетает синий экранчик, но это проблема с драйвером видео, была и до заражения, хотя драва все новые стоят).
Борис А. Чертенко aka Borka.
#30
Отправлено 06 Январь 2009 - 23:35
#31
Отправлено 06 Январь 2009 - 23:40
Переименовывание CureIt не помогает. А как в Суппорт написать?
Вверху ссылка...Техподдержка Drweb
#32
Отправлено 07 Январь 2009 - 00:05
А какая материнка? Какой код БСОДа? И почему уверены, что проблема с видеодрайвером?Безопасный режим у меня не запускается ни с сетью, ни без нее. На Myp.sys комп перезагружается. У меня и обычный с 3 раза запускается (вылетает синий экранчик, но это проблема с драйвером видео, была и до заражения, хотя драва все новые стоят).
У меня вообще-то ноутбук HP XE3 933 Mgz. Intel 82830M. Экран внешний.Иногда когда экран ноута у меня еще работал при переключении с телевизора на ноутовский монитор экран покрывался постепенно белым цветом и выдавалось сообщение об ошибке с синим экраном. Проблема синепго экрана при загрузке компа появилась толи после переустановки дров на новые Intel 82830M, толи после установки SP2 началась эта ошибка. Myp.sys не стал грузиться где-то 2 недели назад, когда я выключил комп выдернув его из розетки. Но тогда с помощью checkdsk я его отремонтировал. Но полнедели назад он в безопасном режиме опять перестал грузить. В Инете посмотрел - там могут быть разные причины этого. 1 из вощможных решений это перепрошить БИОС. Код экрана синего я не записывал
#33
Отправлено 07 Январь 2009 - 00:14
На Majorgeeks описывается подобная проблема с myp.sys и невозможностью загрузиться в безопасном режиме.У меня вообще-то ноутбук HP XE3 933 Mgz. Intel 82830M. Экран внешний.Иногда когда экран ноута у меня еще работал при переключении с телевизора на ноутовский монитор экран покрывался постепенно белым цветом и выдавалось сообщение об ошибк с синим экраном. Проблема синепго экрана при загрузке компа появилась толи после переустановки дров на новые Intel 82830M, толи после установки SP2 началась эта ошибка. Myp.sys не стал грузиться где-то 2 недели назад, когда я выключил комп выдернув его из розетки. Но тогда с помощью checkdsk я его отремонтировал. Но полнедели назад он в безопасном режиме опять перестал грузить. В Инете посмотрел - там могут быть разные причины этого. 1 из вощможных решений это перепрошить БИОС. Код экрана синего я не записывал
Борис А. Чертенко aka Borka.
#34
Отправлено 07 Январь 2009 - 01:04
Прикрепленные файлы:
#35
Отправлено 07 Январь 2009 - 02:32
Очень интересно. Шилд не запущен. Почистите системный и пользовательский темпы, кеш браузера, файлы sqmdata??.sqm, sqmnoopt??.sqm в корне C:\Прикладываю лог CureIt-а. Базы от 2 января.
В системе ошметки от Аваста, НОДа, Панды.
Вот эти подозрительные, проверьте на Вирустотале
C:\WINDOWS\system32\deaebbby.dll
C:\WINDOWS\system32\deapaors.ini
C:\WINDOWS\system32\html.iec
C:\WINDOWS\system32\i
C:\WINDOWS\system32\jwokflah.dll
C:\WINDOWS\system32\kbimlmcm.dll
C:\WINDOWS\system32\rqRJDtSj.dll
C:\WINDOWS\system32\SET1D.tmp
C:\WINDOWS\system32\SET21.tmp
C:\WINDOWS\system32\SET29.tmp
C:\WINDOWS\system32\sroapaed.dll
C:\WINDOWS\system32\tdqoeagv.dll
C:\WINDOWS\system32\uiqmsnlb.dll
C:\WINDOWS\system32\ynvgkgjn.dll
c:\program files\windows media player\wmpnetwk.exe
c:\windows\system32\.exe
Что-то многовато файлов:
C:\WINDOWS\system32\hccutils(10).dll - OK
C:\WINDOWS\system32\hccutils(11).dll - OK
C:\WINDOWS\system32\hccutils(2).dll - OK
C:\WINDOWS\system32\hccutils(3).dll - OK
C:\WINDOWS\system32\hccutils(4).dll - OK
C:\WINDOWS\system32\hccutils(5).dll - OK
C:\WINDOWS\system32\hccutils(6).dll - OK
C:\WINDOWS\system32\hccutils(7).dll - OK
C:\WINDOWS\system32\hccutils(8).dll - OK
C:\WINDOWS\system32\hccutils(9).dll - OK
C:\WINDOWS\system32\hccutils.dll - OK
C:\WINDOWS\system32\igfxdev(10).dll - OK
C:\WINDOWS\system32\igfxdev(11).dll - OK
C:\WINDOWS\system32\igfxdev(2).dll - OK
C:\WINDOWS\system32\igfxdev(3).dll - OK
C:\WINDOWS\system32\igfxdev(4).dll - OK
C:\WINDOWS\system32\igfxdev(5).dll - OK
C:\WINDOWS\system32\igfxdev(6).dll - OK
C:\WINDOWS\system32\igfxdev(7).dll - OK
C:\WINDOWS\system32\igfxdev(8).dll - OK
C:\WINDOWS\system32\igfxdev(9).dll - OK
C:\WINDOWS\system32\igfxdev.dll - OK
C:\WINDOWS\system32\igfxpph(10).dll - OK
C:\WINDOWS\system32\igfxpph(11).dll - OK
C:\WINDOWS\system32\igfxpph(2).dll - OK
C:\WINDOWS\system32\igfxpph(3).dll - OK
C:\WINDOWS\system32\igfxpph(4).dll - OK
C:\WINDOWS\system32\igfxpph(5).dll - OK
C:\WINDOWS\system32\igfxpph(6).dll - OK
C:\WINDOWS\system32\igfxpph(7).dll - OK
C:\WINDOWS\system32\igfxpph(8).dll - OK
C:\WINDOWS\system32\igfxpph(9).dll - OK
C:\WINDOWS\system32\igfxpph.dll - OK
C:\WINDOWS\system32\igfxsrvc(10).dll - OK
C:\WINDOWS\system32\igfxsrvc(11).dll - OK
C:\WINDOWS\system32\igfxsrvc(2).dll - OK
C:\WINDOWS\system32\igfxsrvc(3).dll - OK
C:\WINDOWS\system32\igfxsrvc(4).dll - OK
C:\WINDOWS\system32\igfxsrvc(5).dll - OK
C:\WINDOWS\system32\igfxsrvc(6).dll - OK
C:\WINDOWS\system32\igfxsrvc(7).dll - OK
C:\WINDOWS\system32\igfxsrvc(8).dll - OK
C:\WINDOWS\system32\igfxsrvc(9).dll - OK
C:\WINDOWS\system32\igfxsrvc.dll - OK
Борис А. Чертенко aka Borka.
#36
Отправлено 07 Январь 2009 - 07:41
Что такое Шилд?Очень интересно. Шилд не запущен. Почистите системный и пользовательский темпы, кеш браузера, файлы sqmdata??.sqm, sqmnoopt??.sqm в корне C:\
В системе ошметки от Аваста, НОДа, Панды.
Вот эти подозрительные, проверьте на Вирустотале
C:\WINDOWS\system32\deaebbby.dll
C:\WINDOWS\system32\deapaors.ini
C:\WINDOWS\system32\html.iec
C:\WINDOWS\system32\i
C:\WINDOWS\system32\jwokflah.dll
C:\WINDOWS\system32\kbimlmcm.dll
C:\WINDOWS\system32\rqRJDtSj.dll
C:\WINDOWS\system32\SET1D.tmp
C:\WINDOWS\system32\SET21.tmp
C:\WINDOWS\system32\SET29.tmp
C:\WINDOWS\system32\sroapaed.dll
C:\WINDOWS\system32\tdqoeagv.dll
C:\WINDOWS\system32\uiqmsnlb.dll
C:\WINDOWS\system32\ynvgkgjn.dll
c:\program files\windows media player\wmpnetwk.exe
c:\windows\system32\.exe
Что-то многовато файлов:
C:\WINDOWS\system32\hccutils(10).dll - OK
C:\WINDOWS\system32\hccutils(11).dll - OK
C:\WINDOWS\system32\hccutils(2).dll - OK
C:\WINDOWS\system32\hccutils(3).dll - OK
C:\WINDOWS\system32\hccutils(4).dll - OK
C:\WINDOWS\system32\hccutils(5).dll - OK
C:\WINDOWS\system32\hccutils(6).dll - OK
C:\WINDOWS\system32\hccutils(7).dll - OK
C:\WINDOWS\system32\hccutils(8).dll - OK
C:\WINDOWS\system32\hccutils(9).dll - OK
C:\WINDOWS\system32\hccutils.dll - OK
C:\WINDOWS\system32\igfxdev(10).dll - OK
C:\WINDOWS\system32\igfxdev(11).dll - OK
C:\WINDOWS\system32\igfxdev(2).dll - OK
C:\WINDOWS\system32\igfxdev(3).dll - OK
C:\WINDOWS\system32\igfxdev(4).dll - OK
C:\WINDOWS\system32\igfxdev(5).dll - OK
C:\WINDOWS\system32\igfxdev(6).dll - OK
C:\WINDOWS\system32\igfxdev(7).dll - OK
C:\WINDOWS\system32\igfxdev(8).dll - OK
C:\WINDOWS\system32\igfxdev(9).dll - OK
C:\WINDOWS\system32\igfxdev.dll - OK
C:\WINDOWS\system32\igfxpph(10).dll - OK
C:\WINDOWS\system32\igfxpph(11).dll - OK
C:\WINDOWS\system32\igfxpph(2).dll - OK
C:\WINDOWS\system32\igfxpph(3).dll - OK
C:\WINDOWS\system32\igfxpph(4).dll - OK
C:\WINDOWS\system32\igfxpph(5).dll - OK
C:\WINDOWS\system32\igfxpph(6).dll - OK
C:\WINDOWS\system32\igfxpph(7).dll - OK
C:\WINDOWS\system32\igfxpph(8).dll - OK
C:\WINDOWS\system32\igfxpph(9).dll - OK
C:\WINDOWS\system32\igfxpph.dll - OK
C:\WINDOWS\system32\igfxsrvc(10).dll - OK
C:\WINDOWS\system32\igfxsrvc(11).dll - OK
C:\WINDOWS\system32\igfxsrvc(2).dll - OK
C:\WINDOWS\system32\igfxsrvc(3).dll - OK
C:\WINDOWS\system32\igfxsrvc(4).dll - OK
C:\WINDOWS\system32\igfxsrvc(5).dll - OK
C:\WINDOWS\system32\igfxsrvc(6).dll - OK
C:\WINDOWS\system32\igfxsrvc(7).dll - OK
C:\WINDOWS\system32\igfxsrvc(8).dll - OK
C:\WINDOWS\system32\igfxsrvc(9).dll - OK
C:\WINDOWS\system32\igfxsrvc.dll - OK
В системе ошметки от Аваста, НОДа, Панды - это я пытался установить антивирусы
Что-то многовато файлов -Ну, это не я их создаю.
Лог прилагаю. А как Вы узнали, что это подозрительные файлы?
Прикрепленные файлы:
#37
Отправлено 07 Январь 2009 - 07:56
Лог прилагаю. А как Вы узнали, что это подозрительные файлы?
Отправляйте в лабораторию.
детект только на одном tdqoeagv.dll
остальные доктор не знает.
У знали просто, по названию, любой файл должен осмысленно называться (не всегда но всеже), да и временных файлов в system32 быть вроде не должно.
#38
Отправлено 07 Январь 2009 - 16:28
А что мне делать с тем зараженным списком? Я все файлы, кроме 1 переместил в Infected. Но ничего не изменилось. Что делать? АВПонлайн сканнер перестал запускаться новый. Есть утилита wipe info, может ею кдалить эти файлы, если она запуститься, так как слышал что в карзину удалять нельзя
#39
Отправлено 07 Январь 2009 - 21:22
#40
Отправлено 08 Январь 2009 - 13:15
Мне кажется, что быстрее будет обратиться. Я так понимаю, что Beagle - это Bagle, вам напишут скрипт удаления[/url].
А мне кажется, что форум Dr.Web - не место для рекламы сторонних ресурсов. У компании есть своя техподдержка. Ссылка наверху.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых