178 ответов в этой теме

[Borka]

1. я отключила восстановление.

По логу не похоже. :)

2. архивы не отключала, так как была ночь на проверку

А мы теперь все это смотрим, смотрим, смотрим... ;)

3. файл c:testpcixmm.dll.dwq уже отправлен в вирлаб и уже внесен в базу как голдспай 2238

Когда внесен в базу? Судя по логу - ни разу:
C:WINDOWSsystem32pcixmm.dll упакован UPX
>C:WINDOWSsystem32pcixmm.dll - Ok
Ы?

Проверьте на ВирусТотал вот это:
C:WINDOWSsystem32_r_a_p_.tmp - Ok
C:WINDOWSsystem32~.exe - Ok


---
С уважением,
Borka.

[userr]

Вы слишком строго со мной разговариваете

Глубокоуважаемая Ната, если Вас не затруднит, пожалуйста, попробуйте следовать рекомендациям, которые дают Вам здесь Ваш покорный слуга и другие, гораздо более знающие специалисты.

1. я отключила восстановление.

Из лога в http://new-forum.drweb.com/mod/forum/threa...39046#msg139046 этого, к сожалению, не видно. Возможно, какой-то сбой в системе.

2. архивы не отключала, так как была ночь на проверку

Получается огромный лог, который трудно анализировать. Пожалуйста, в следующий раз сделайте это.

3. файл c:testpcixmm.dll.dwq уже отправлен в вирлаб и уже внесен в базу как голдспай 2238

Из вашего последнего лога cureit:
C:testpcixmm.dll .dwq упакован UPX
>C:testpcixmm.dll .dwq - Ok
C:WINDOWSsystem32pcixmm.dll упакован UPX
>C:WINDOWSsystem32pcixmm.dll - Ok

Это был старый лог? Кроме того, нет результатов с virustotal.com

4. логи показаны

Где же лог hijackthis после работы cureit ?

Проверьте файлы, которые указал Borka, на virustotal.com
C:WINDOWSsystem32_r_a_p_.tmp - Ok
C:WINDOWSsystem32~.exe упакован UPX
>C:WINDOWSsystem32~.exe - Ok

Скачайте, разархивируйте файл http://slil.ru/26092905
Запускаете, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.

[atatasha]

Не менее уважаемый Юзерр! Спасибо на добром слове!!! :)
1. восстановление честно отключала (панель управления, система, восстановление системы), но сейчас посмотрела снова галочка стоит?... отключать боюсь - стал появляться экран как в safeмоде и перегружается машина сама. Думаю, может уже дешевле все переставить, а то ведь вторые сутки уже...

2.про размер лога не додумалась, извините. вот новый после включения голдспая.

3. Реакция тоталвируса на rap.tmp (это и вправду файл 0 байт)

0 bytes size received / Se ha recibido un archivo vacio

*********************

Реакция тоталвируса на ~.exe

Антивирус Версия Обновление Результат
AhnLab-V3 2008.8.27.1 2008.08.27 -
AntiVir 7.8.1.23 2008.08.27 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.27 -
Avast 4.8.1195.0 2008.08.26 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.27 Win32/Heur
BitDefender 7.2 2008.08.27 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.27 -
DrWeb 4.44.0.09170 2008.08.27 -
eSafe 7.0.17.0 2008.08.26 Suspicious File
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.27 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.27 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.08.27 Virus.Win32.Trojan
K7AntiVirus 7.10.428 2008.08.25 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.08.27 -
McAfee 5370 2008.08.26 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3391 2008.08.27 -
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.26 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.27 Malicious Software
Rising 20.59.21.00 2008.08.27 -
Sophos 4.32.0 2008.08.27 Mal/EncPk-CO
Sunbelt 3.1.1582.1 2008.08.26 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.27 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.27 PAK_Generic.001
VBA32 3.12.8.4 2008.08.26 suspected of Malware-Cryptor.Win32.General.2
ViRobot 2008.8.27.1352 2008.08.27 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.27 Trojan.Crypt.XPACK.Gen

....продолжение следует....

[atatasha]

лог джека

[v.martyanov]

Засылайте нам заразу, можно ответом на все тот же тикет, добавлю :-)

[Borka]

2.про размер лога не додумалась, извините. вот новый после включения голдспая.

Хоть убей:
C:WINDOWSSystem32pcixmm.dll упакован UPX
>C:WINDOWSSystem32pcixmm.dll - Ok

Вы КуреИт свежий скачивали? Или все тем же провверяете?
Просьба: переименуйте старый лог, а новый делайте с нуля.

Реакция тоталвируса на ~.exe

Зашлите его в Вирлаб, номер тикета скажите здесь.

---
С уважением,
Borka.

[atatasha]

Отослано :)

[Borka]

Пофиксите:
O20 - Winlogon Notify: pcixmm - C:WINDOWSSYSTEM32pcixmm.dll
Повторите сканирование Хайджеком. Если не убился - скажите.

---
С уважением,
Borka.

[atatasha]

А вот репорт от UnHooker

[atatasha]

Запустила HiJack, потом выставила галочку у O20 - Winlogon Notify: pcixmm - C:WINDOWSSYSTEM32pcixmm.dll, потом нажала на Fixed Checked, потом снова на Scan. Строчка не пропала. Может что-то не то жму?

[Borka]

Нет, Вы все делаете правильно. Только pcixmm.dll сидит в системе, и он активен.
Еще раз: Вы КуреИт обновляли перед сканированием?

---
С уважением,
Borka.

[atatasha]

Куреит, конечно, новый каждый раз. Лог удалю и новый сделаю.
Все в лабораторию заслано, а тикет тот же - drweb.com #547978.
Кстати, сейчас обновила базы и Guard ругнулся на pcixmm.dll и, вроде, удалил . Но строчка из лога HiJackа никуда не исчезла :(.

[Borka]

Кстати, сейчас обновила базы и Guard ругнулся на pcixmm.dll и, вроде, удалил

Давайте выясним. :) Что в C:Program FilesDrWebSpiderNT.log говорится по поводу этого файла? ;)
Если базы обновляются, то запустите сканер и выполните "Быструю" проверку, удалите из лога свою ключевую информацию и покажите _только результат этой проверки_.

---
С уважением,
Borka.

[Касперон]

если компьютер перегружается, зайдите в меню по F8 и выберете "не перегружать компьютер при ошибке".
в этом случае система может уйти в "синий экран смерти". Крайне желательно было бы, если бы Вы, Наталья, переписали с него то, что большими буквами будет - указание на то, из-за чего произошла ошибка...

[ILNARus]

снова делай fix, если и после этого не исчезнет, то значит, что то еще сидит

[atatasha]

Запустила новый сканер. Вот его лог. Ошибка чтения :(

[atatasha]

Исчез ! :)

[Borka]

Запустила новый сканер. Вот его лог. Ошибка чтения :(

Это лог спайдерГарда. В нем видно:
27-08-2008 15:15:26 [PR] C:WINDOWSsystem32pcixmm.dll - инфицирован Trojan.PWS.GoldSpy.2238
27-08-2008 15:15:32 [PR] C:WINDOWSsystem32pcixmm.dll - ошибка удаления
27-08-2008 15:15:32 [PR] C:WINDOWSsystem32pcixmm.dll - доступ к файлу запрещен
...
27-08-2008 15:49:47 [PR] C:WINDOWSsystem32pcixmm.dll - инфицирован Trojan.PWS.GoldSpy.2238
27-08-2008 15:57:34 [PR] C:WINDOWSsystem32pcixmm.dll - ошибка удаления

То есть не "вроде удалил". :)
Попробуем так. Поставьте спайдер на паузу, найдите этот файл и переименуйте его. Либо при запросе спайдера выберите переименование (опять покажете лог после того, как отработает спайдер).

---
С уважением,
Borka.

[Borka]

Исчез ! :)

После чего!?

---
С уважением,
Borka.

[atatasha]

После работы сканера и перезагрузки, больше ничего не делала.