27 ответов в этой теме

[pubel2009]

При попытке установки DrWeb5 выскакивает сообщение Драйвер защиты не может быть запущен, но антивирус ставится. После перезагрузки выскакивает сообщение SpiderAgent вызвал исключение по адресу .... память не может быть read. В итоге drweb нерабочий guard неработает. При попытке удалить его через панель управления выскакиет окошко самозащиты с цифрами ЦИФРЫ ввожу, но самозащита не отключается и происходит откат удаления.

CureIt ничего ненаходит.
логи в аттаче

Прикрепленные файлы:

•  RKU.rar   25,8К   54 Скачано раз

[Borka]

логи в аттаче

Пофиксите в Хайджеке и посмотрете, не появляется ли запись снова:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

Файл C:\WINDOWS\system32\sdra64.exe - в Вирлаб: http://vms.drweb.com/sendvirus

Без лога сканера ничего сказать нельзя. Установлен spdt, а хуков его нет...

[pubel2009]

Пофиксил - скан - Опять появляется Пофиксил - скан - Опять появляется и т.д.
что значит "Установлен spdt, а хуков его нет..."

[YVS]

Пофиксил - скан - Опять появляется Пофиксил - скан - Опять появляется и т.д.

Попробуйте переименовать его.

[pubel2009]

Кого? sdra64 ?

файл отправил [drweb.com #912421]

[YVS]

Кого? sdra64 ?

Ну да

[pubel2009]

Переименовал - пофиксил - непоявилось. Что дальше?

[YVS]

Переименовал - пофиксил - непоявилось. Что дальше?

Перезагрузка и после нее еще на всякий случай проверьте, что запись не восстанавливается.
Еще нужен лог CureIt! по правилам.

[Borka]

Переименовал - пофиксил - непоявилось. Что дальше?

Перезагрузка и после нее еще на всякий случай проверьте, что запись не восстанавливается.
Еще нужен лог CureIt! по правилам.

Нужны все логи.

[pubel2009]

Логи куреита, хайджека, RKU

Прикрепленные файлы:

•  TEST.rar   138,39К   49 Скачано раз

[YVS]

Отправьте в вирлаб (одним тикетом)
C:\WINDOWS\system32\SKYNETbrxuxnpv.dll
C:\WINDOWS\system32\SKYNETiefyedbp.dat
C:\WINDOWS\system32\SKYNETlog.dat
C:\WINDOWS\system32\SKYNETtfmlmguo.dll

И это (разными)
C:\WINDOWS\system32\Zaraza-dra4.exe
C:\WINDOWS\temp\5.tmp

[pubel2009]

C:\WINDOWS\system32\Zaraza-dra4.exe это переименованный sdra64.exe

sdra64.exe [drweb.com #912421] Обработано: SUBMITTED SUSPICIOUS FILE Угроза: Trojan.PWS.Panda.122 Чем этот зверь опасен? что делает в системе?

C:\WINDOWS\system32\SKYNETbrxuxnpv.dll
C:\WINDOWS\system32\SKYNETiefyedbp.dat
C:\WINDOWS\system32\SKYNETlog.dat
C:\WINDOWS\system32\SKYNETtfmlmguo.dll отправил [drweb.com #912481]

C:\WINDOWS\temp\5.tmp отправил [drweb.com #912500]

[pubel2009]

Что дальше?

[Borka]

Логи куреита, хайджека, RKU

Проверьте на ВирусТотал:
C:\WINDOWS\system32\msvcrt2.dll
C:\WINDOWS\system32\skeys.exe

Этот тоже в Вирлаб:
C:\WINDOWS\system32\drivers\SKYNETjoxbmrdl.sys

[Borka]

Что дальше?

Есть возможность загрузиться с внешнего носителя?

[pubel2009]

Да с LiveCD. Вы думаете как я файлы из system32 выдергивал.

[Borka]

Да с LiveCD. Вы думаете как я файлы из system32 выдергивал.

Я думаю вот что: если возможность есть, тогда уберите (не удаляйте, а переместите!) все файлы skynet*.*, включая драйвер, загрузитесь в обычный режим и сделайте логи сканера ("Быструю" проверку) и лог РкУ.

[YVS]

Угроза: Trojan.PWS.Panda.122 Чем этот зверь опасен? что делает в системе?

Ворует пароли.

[pubel2009]

SKYNETjoxbmrdl.sys [drweb.com #912519]

C:\WINDOWS\system32\msvcrt2.dll
C:\WINDOWS\system32\skeys.exe VirusTotal Результат: 0/40 (0%)

Всем спасибо ! Продолжение завтра...

[pubel2009]

SKYNETjoxbmrdl.sys [drweb.com #912519] Угроза: Trojan.Packed.2479

Что делать дальше? пройти свежим Cureit по правилам или вручную удалить?