52 ответов в этой теме

[mrbelyash]

В Midnight Commander'е переместил подозрительные файлы в другую папку (C:\viruses):
C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\geyekrbgpjibxr.dll
и
C:\WINDOWS\system32\geyekraevcrxnj.dat
C:\WINDOWS\system32\geyekrbgpjibxr.dll
C:\WINDOWS\system32\geyekrptxmarap.dat

В вирлаб эти файлы отправили?

Только что отправил:
C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
C:\WINDOWS\system32\sdra64.exe

С остальными проблема.
В LiveCD у меня сети нету, а windows geyekr* не видит.
А Можно как-то в LiveCD архив сделать?

Кстати, РкУ показывает файл:
C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys
но его ни windows, ни LiveCD не показывают.

Прилагаю скриншот, при генерации отчета РкУ вылетает.

Перезагрузитесь....C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys останется?

[Romanoff]

LiveCD никаких вирусов не нашел.

В Midnight Commander'е переместил подозрительные файлы в другую папку (C:\viruses):
C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\geyekrbgpjibxr.dll
и
C:\WINDOWS\system32\geyekraevcrxnj.dat
C:\WINDOWS\system32\geyekrbgpjibxr.dll
C:\WINDOWS\system32\geyekrptxmarap.dat

Загрузил Winwows. Файлов geyekr* ни Проводник, ни far не показывают.
Позапускал HiJackThis, GMER, RkU. Подозрительное сообщение выдал только RkU ("паразит внутри"). А при генерации отчета - вылетел.

Загрузился в LiveCD опять. Файлы geyekr* опять появились и показываются в C:\WINDOWS\system32 и C:\viruses.

Экспортируйте реестр.сожмите и приложите сюда..Если это не файловый вирус то можно выявить откуда вредонос стартует.


http://wiki.drweb.com/index.php/Userinit2

http://wiki.drweb.com/index.php/Userinit

Прилагаю.
В ключах "Userinit" и "Shell" ничего лишнего.

Прикрепленные файлы:

•  registry_full.rar   5,18Мб   35 Скачано раз

[Romanoff]

Перезагрузился. Я этого файла вообще не наблюдал ни в LiveCD, ни в Проводнике.
C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys
Может РкУ показывает старую запись?

[mrbelyash]

Перезагрузился. Я этого файла вообще не наблюдал ни в LiveCD, ни в Проводнике.
C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys
Может РкУ показывает старую запись?

Значит темповый ..и был подчищен...

[Romanoff]

Перезагрузился. Я этого файла вообще не наблюдал ни в LiveCD, ни в Проводнике.
C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys
Может РкУ показывает старую запись?

Значит темповый ..и был подчищен...

А может reset нажать, чтобы подчистить не успел?
Этот файл может нам чем-нибудь помочь?

[mrbelyash]

Перезагрузился. Я этого файла вообще не наблюдал ни в LiveCD, ни в Проводнике.
C:\DOCUME~1\Romanoff\LOCALS~1\Temp\asliahmy.sys
Может РкУ показывает старую запись?

Есть ли возможность на этой ОС сделать логи RKU/GMER/HJ/RootRepal ?

[Romanoff]

Сделал логи. В РкУ пришлось отключить "Code Hooks", с ним вылетал.

Прикрепленные файлы:

•  logs.rar   10,23К   31 Скачано раз

[Romanoff]

Заработало!!!
Загрузился в LiveCD и поудалял все invisible файлы, найденные RootRepeal'ом.
Загрузил windows - Dr.Web опять начал работать нормально.

Файлы не определяются Dr.Web'ом даже когда они видны.
Все файлы отправил в ВирЛаб.

[sleb]

Все файлы отправил в ВирЛаб

Опубликуйте номера тикетов здесь или в этом разделе: http://forum.drweb.com/index.php?showforum=49

[Romanoff]

Все файлы отправил в ВирЛаб

Опубликуйте номера тикетов здесь или в этом разделе: http://forum.drweb.com/index.php?showforum=49

#945058
#945059
#945132 - самый главный, остальные можно не смотреть

[userr]

Romanoff
попробуйте теперь обновить drweb и сделать лог сканера по правилам

[Romanoff]

Сканер ничего не обнаружил, я же эти файлики поудалял. Лог прилагается.
Этот вирус зарегистрировался как скрытый системный сервис. Исполняемые модули удалены, но запись в реестре осталась и regedit'ом удалить её не получается. В принципе, жить это не мешает, но подчистить хочется. Как можно это сделать?
В архиве также reg-файл и скрины gmer'а и regedit'а.

Прикрепленные файлы:

•  after_virus.rar   195,91К   35 Скачано раз

[Borka]

В принципе, жить это не мешает, но подчистить хочется. Как можно это сделать?

В regedit'е - стать на этот ключ, правым пальцем "Разрешения", дать себе все разрешения и убить ветку.