149 ответов в этой теме

[mrbelyash]

А как реестр запустить? regedit и regedit.exe из Пуск--Выполнить ничего не запускают

Делайте логи как указано здесь
http://forum.drweb.com/index.php?showtopic=277652

[nikita800]

А как реестр запустить? regedit и regedit.exe из Пуск--Выполнить ничего не запускают

О! Совсем интересно. А если
dir C:\WINDOWS\regedit.exe
?

После перезагрузки
C:\>sc query RpcSs

RPC не интересует. Что со службой планировщика?

Тоже самое. При попытке запустить, виснет окно на несколько минут, потом появляется окошко Невозможно запустить службу.

И окна не интересуют. Что говорит
sc query Schedule
?

Прошу прощения. В прошлый раз совсем система умерла. Перезагружается и виснит Щас вроде работает. Вообще хочу всё снести нафик, отформатировать установить заново, но лень.

Итак, продолжим

C:\>dir C:\WINDOWS\regedit.exe
Том в устройстве C не имеет метки.
Серийный номер тома: 4CA7-0B5F

Содержимое папки C:\WINDOWS

17.08.2004 15:05 148 992 regedit.exe
1 файлов 148 992 байт
0 папок 1 734 569 984 байт свободно


C:\>sc query Schedule

SERVICE_NAME: Schedule
TYPE : 120 WIN32_SHARE_PROCESS (interactive)
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1717 (0x6b5)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

[Borka]

Делайте логи по правилам.

[nikita800]

Вот логи РутКита и Сканера

 Report.txt   74,34К   82 Скачано раз
 drweb_fast2.log   10,48К   150 Скачано раз

[nikita800]

Лог хиджека не могу дать, т.к он у меня не запускается. Я скачал с оф.сайта zip, распаковал, не запускается файл. Скачал инсталер, проинсталировал - тоже не запускается. Просто тупо ничего не происходит.

[nikita800]

Вот все полные логи. Забыл что форум не поддерживает прикрепление лог файла более 2 мег
 Logs.rar   132,95К   116 Скачано раз

[nikita800]

Вирусов вроде не находит, хотя раньше находил )))
Но почему не запускается Планировщик и невозможно выполнить обновление?

[Borka]

Логи не все!

Проверьте:
c:\windows\system32\1042j.exe

Явно что-то сидит:
Driver:
Address: 0xF853A000
Size: 98304 bytes

[nikita800]

Логи не все!

Проверьте:
c:\windows\system32\1042j.exe

Явно что-то сидит:
Driver:
Address: 0xF853A000
Size: 98304 bytes

Проверяю папку system32 - ничего не находит, а вот SpIDer Guard в фоновом режиме вскоре после перезагрузки находит такую гадость.
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - инфицирован Trojan.Fakealert.4089
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - удален
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - инфицирован Trojan.Click.origin
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - удален

и так каждый раз после перезагрузки
Я уже и в безопасном режиме загружался и сканировал и удалял эти вири и кабель интеренета вынимал, т.к сложилось впечатление что он их из интернета подкачивает на мой комп
ничего не помогает!!!

Причем файлы BN2.tmp, BN3.tmp, BN4.tmp,... BN10.tmp, BN11.tmp итд сидят спокойно в C:\WINDOWS\TEMP\ и Др.Веб их не считает за вирусы. т.е получается что они становятся вирусами в определённый момент по указанию "сверху" ))))
А файлы типа mmmpkzcn.dll имеют каждый раз разное название, но общее у них (их маска) mmm*****.dll

[nikita800]

Логи не все!

Какие ещё логи я не предоставил?

 spidernt.log   6,85К   82 Скачано раз

 Logs.rar   132,95К   62 Скачано раз

[mrbelyash]

Логи не все!

Какие ещё логи я не предоставил?

 spidernt.log   6,85К   82 Скачано раз

 Logs.rar   132,95К   62 Скачано раз

Удаленное администрирование сознательно стоит?

[nikita800]

 drweb32w.log   572,47К   310 Скачано раз

Вот лог проверки сканером папки system32

Удаленное администрирование сознательно стоит?

Это вы про что?

[mrbelyash]

Удаленное администрирование сознательно стоит?

Это вы про что?

C:\WINDOWS\system32\admdll.dll является потенциально опасной программой Program.RemoteAdmin.21 - проигнорирован

[nikita800]

Удаленное администрирование сознательно стоит?

Это вы про что?

C:\WINDOWS\system32\admdll.dll является потенциально опасной программой Program.RemoteAdmin.21 - проигнорирован

Да, я его специально в исключения добавил.

[nikita800]

Меня больше беспокоит c:\windows\system32\1042j.exe
Но я не могу найти этот файл, даже включил отображение скрытых файлов и папок.

[mrbelyash]

Меня больше беспокоит c:\windows\system32\1042j.exe
Но я не могу найти этот файл, даже включил отображение скрытых файлов и папок.

А если вот так http://wiki.drweb.com/index.php/Скрытые_процессы

P.S.
Например
http://www.spywareterminator.com/de/item/4...rIRCBotctm.html
http://www.virustotal.com/analisis/8c80177...031761879e6594a

Сообщение было изменено mrbelyash: 27 Март 2009 - 18:32

[nikita800]

Тыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator

Всем спасибо за помощь.
Теперь вернёмся к главному вопросу этой темы.

Как запустить планировщик антивируса и как обновить антивирусные базы?

[mrbelyash]

Тыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator

В этом Ваша ошибка. Файл нужно было отправить в вирлаб. Они бы сделали лечение системы
На спайваретерминатор я кинул ссылку как на подозреваемый файл и там был md5 хеш файла.
А теперь фиг знает все ли спайваретерминатор подчистил или нет

[nikita800]

Тыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator

В этом Ваша ошибка. Файл нужно было отправить в вирлаб. Они бы сделали лечение системы
На спайваретерминатор я кинул ссылку как на подозреваемый файл и там был md5 хеш файла.
А теперь фиг знает все ли спайваретерминатор подчистил или нет

Я бы всё равно его вряд ли смог послать. Дело в том, что когда я запустил процесс сканирования Терминатора, он вывел несколько по его мнению вирусов и там был этот 1040j.exe, я нажал удалить, он ругнулся что удалить невозможно, надо перезагрузить или перезагрузитесь в безопасном режиме и запустите сканирование. Я перезагрузился в безопасном режиме, запустил сканирование и ничего не нашел. Потом в нормальный режим загрузился, посмотрел в процессах svchost.exe cтало 7 штук, а было 9!!! и комп перестал виснуть при загрузке и интернет летает, а раньше такое ощущение, что его что-то тормозило (как на модеме в 98ом )
Таким образом по сути файла вируса 1040j.exe у меня небыло в руках. Я его даже в папке не мог найти, он какой-то мегаскрытный был. )))

ЗЫ. Как запустить планировщик антивируса и как обновить антивирусные базы?

[Borka]

Проверяю папку system32 - ничего не находит, а вот SpIDer Guard в фоновом режиме вскоре после перезагрузки находит такую гадость.
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - инфицирован Trojan.Fakealert.4089
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - удален
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - инфицирован Trojan.Click.origin
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - удален
и так каждый раз после перезагрузки

Нет, это не в фоновом режиме, а в самом настоящем. То есть при записи на диск процессами с PID = 1084 и PID = 2280. Нужно смотреть в момент срабатывания спайдера, какие процессы записывают троянов.

Причем файлы BN2.tmp, BN3.tmp, BN4.tmp,... BN10.tmp, BN11.tmp итд сидят спокойно в C:\WINDOWS\TEMP\ и Др.Веб их не считает за вирусы. т.е получается что они становятся вирусами в определённый момент по указанию "сверху" ))))
А файлы типа mmmpkzcn.dll имеют каждый раз разное название, но общее у них (их маска) mmm*****.dll

Почистите темпы.