178 ответов в этой теме

[userr]

Обычно я работаю не как администратор и без пароля

Во-первых, обязательно установите пароль, во-вторых пользователь "Ната" обладает правами Администратора, это видно по логам Drweb. Да иначе к Вам и не село бы столько гадости.

[atatasha]

Когда загружается safemode у меня нет выбора пользователя - только администратор.

[Andrey_Kr]

Перед вводом пароля попробуйте нажать alt+ctrl+del пару раз, должно появиться классическое окно входа в систему

[atatasha]

Спасибо!

[atatasha]

Отчитываюсь.
1. новым сканером в безопасном режиме проверила - он ничего не нашел и перезагрузиться не просил
2. скачала новый куреит и запустила cure.bat поменялся экранный режим (все стало большим), в командной
строке появился вопрос про pcixmm.dll .dwq. В test pcixmm.dll .dwq не появился.
REsult прикладываю

[userr]

REsult прикладываю

Моя вина, я новый файл не приложил. Возьмите сейчас, повторите с имеющимся cureit.
Но уже видно, что один из вредоносного программного обеспечения наконец убит. Надеюсь, остальные тоже.

[atatasha]

В тесте появился Hmr15.sys .dwq и pcixm.sys .dwq и Setup.exe .dwq. на pcixm*.dll.dwq guard отругался и его удалил.

[Borka]

Афигеть... Оно осталось!? Зашлите их в Вирлаб и проверьте их на ВирусТотал.

---
С уважением,
Borka.

[v.martyanov]

Хреново. Downloader их может подгружать новые, пока его не выловишь - толку ноль. В модификацию на машине юзера верю слабо, хотя чем черт не шутит...

[Borka]

Хреново.

А то... В логах их нет. %-

---
С уважением,
Borka.

[atatasha]

В вирлаб все отправлено

pcixm.sys .dwq 0 байт
Hmr15.sys .dwq 0 байт

Про setup от вирустотал

Антивирус Версия Обновление Результат
AhnLab-V3 2008.8.27.1 2008.08.27 Win-Trojan/Xema.variant
AntiVir 7.8.1.23 2008.08.27 TR/Agent.UU.4
Authentium 5.1.0.4 2008.08.27 -
Avast 4.8.1195.0 2008.08.27 Win32:Agent-MHP
AVG 8.0.0.161 2008.08.27 -
BitDefender 7.2 2008.08.27 -
CAT-QuickHeal 9.50 2008.08.26 Trojan.KillWin.hv
ClamAV 0.93.1 2008.08.27 -
DrWeb 4.44.0.09170 2008.08.27 -
eSafe 7.0.17.0 2008.08.26 Win32.Agent.uu
eTrust-Vet 31.6.6052 2008.08.27 -
Ewido 4.0 2008.08.27 -
F-Prot 4.4.4.56 2008.08.27 -
F-Secure 7.60.13501.0 2008.08.27 Trojan.Win32.Agent.uu
Fortinet 3.14.0.0 2008.08.26 W32/Agent.UU!tr
GData 19 2008.08.27 Trojan.Win32.Agent.uu
Ikarus T3.1.1.34.0 2008.08.27 Trojan.Win32.Agent.uu
K7AntiVirus 7.10.428 2008.08.25 Trojan.Win32.Agent.uu
Kaspersky 7.0.0.125 2008.08.27 Trojan.Win32.Agent.uu
McAfee 5371 2008.08.27 Generic.dx
Microsoft 1.3807 2008.08.25 Trojan:Win32/Agent
NOD32v2 3393 2008.08.27 probably a variant of Win32/Agent
Norman 5.80.02 2008.08.27 Agent.EOTV
Panda 9.0.0.4 2008.08.27 Trj/Downloader.MDW
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.27 Cloaked Malware
Rising 20.59.21.00 2008.08.27 Trojan.KillWin.ci
Sophos 4.33.0 2008.08.27 -
Sunbelt 3.1.1582.1 2008.08.26 Trojan.Agent.UU
Symantec 10 2008.08.27 Trojan Horse
TheHacker 6.3.0.6.060 2008.08.23 Trojan/Agent.uu
TrendMicro 8.700.0.1004 2008.08.27 -
VBA32 3.12.8.4 2008.08.27 Backdoor.Win32.Bifrose.kt
ViRobot 2008.8.27.1352 2008.08.27 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.27 Trojan.Agent.UU.4

[userr]

Хреново. Downloader их может подгружать новые, пока его не выловишь - толку ноль.

Hmr15.sys .dwq и pcixm.sys .dwq 0 размера, может и не так все хреново.

[v.martyanov]

А! Все, вспомнил! Да, там два файла нулевых размеров, их можно смело руками убить. А Setup.exe - уж не знаю по какой причине, все палят. А это кусок инсталлера AutoCAD кажется. Зашлите его касперычу с указанием на ложное срабатывание :-)

[Borka]

Ага, уже увидел. Интересно только, с какого перепугу файлы остались...
А вот pcixmm.dll до сих пор жив. Нужно сканировать, "Быстрая" проверка должна убить гада.

---
С уважением,
Borka.

[userr]

А Setup.exe - уж не знаю по какой причине, все палят. А это кусок инсталлера AutoCAD кажется. Зашлите его касперычу с указанием на ложное срабатывание

А Вы его хорошо посмотрели? Уж если Симантек выдавил из себя Symantec 10 2008.08.27 Trojan Horse ...

[userr]

А вот pcixmm.dll до сих пор жив.

Как раз его нет. :)

[atatasha]

А сейчас снова перезагрузился комп :(. В тот момент работала быстрая проверка сканера, поиск файлов на компе, интернет (этот форум), вылетел при попытке открыть файл result.

И что же делать, товарищи? Доколе[ sensored ]

[v.martyanov]

Хорошо посмотрел. Дропов нет, DirectX юзает. Нехарактерно для трояна как-то. На вирустотале иногда кейгены вызывают срабатывания более чем у 50% внтивирусов. Я бы советовал заслать касперычам как ложное срабатывание и посмотреть что они скажут :-)

[account has been deleted]

Доколе???

Номано, номано, чем круче по трудитесь, тем больше выводов сделаете.

P.S. Потом, когда всех победим, самой смешно будет.

[Borka]

Как раз его нет. :)

Я что-то пропустил:
27-08-2008 15:49:47 [PR] C:WINDOWSsystem32pcixmm.dll - инфицирован Trojan.PWS.GoldSpy.2238
27-08-2008 15:57:34 [PR] C:WINDOWSsystem32pcixmm.dll - ошибка удаления
?

---
С уважением,
Borka.