Регулярно спайдер сообщает о таком:
23-11-2008 20:56:18 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 20:56:18 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:03:35 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 21:03:35 [CL] (PID = 0004) C:setup.exe - зцiлений
23-11-2008 21:25:12 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:25:12 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:35:34 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:35:34 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:40:27 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:40:27 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 22:29:36 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:29:36 [CL] (PID = 0004) C:setup.exe - зцiлений
23-11-2008 22:33:24 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:33:24 [CL] (PID = 0004) C:setup.exe - зцiлений
То есть он лечит файлы - но их после этого нет, да и не было у меня таких файлов никогда. Полная проверка не дала результатов. Полная проверка в безопасном режиме тоже ничего не найшла. И процеса с данным PID-ом тоже нет и не было.
Помогите, пожалуйста.
Не лечатся Trojan.DownLoad и Win32.Alman
Автор
FLAGER
, ноя 24 2008 08:44
32 ответов в этой теме
#2
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 24 Ноябрь 2008 - 09:44
http://wiki.drweb.com/index.php/Если_у_вас...нический_вопрос
http://wiki.drweb.com/index.php/HijackThis
+лог сканера с быстрой проверкой
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
http://wiki.drweb.com/index.php/HijackThis
+лог сканера с быстрой проверкой
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#3
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Ноябрь 2008 - 10:12
Не небыло, а не видели :-)
#4
YVS
-
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 24 Ноябрь 2008 - 10:33
В ХР PID равный 4 имеет системный процесс.И процеса с данным PID-ом тоже нет и не было.
#5
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 18:49
Здравствуйте.
Спасибо всем за отзывы. Логи сканера, информация о системе и лог ХайДжека в архиве.
Спасибо всем за отзывы. Логи сканера, информация о системе и лог ХайДжека в архиве.
#6
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2008 - 19:02
Кстати, диск c: случаем не расшарен? Еще хотелось бы увидеть лог РкУ.
---
С уважением,
Borka.
---
С уважением,
Borka.
#7
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 20:15
Нет, не розшарен.
У меня стоит стенка ZoneAlarm.
Я всю ИТ-жизнь успешно боролся с вирусами, и не только у себя. Просто этот случай уникален, сам не могу справиться.
Возможный путь попадания вируса - через флешку. Хотя спайдер никогда не выключаю - стоит проверка всех файлов, кроме файлов в архивах.
У меня стоит стенка ZoneAlarm.
Я всю ИТ-жизнь успешно боролся с вирусами, и не только у себя. Просто этот случай уникален, сам не могу справиться.
Возможный путь попадания вируса - через флешку. Хотя спайдер никогда не выключаю - стоит проверка всех файлов, кроме файлов в архивах.
#8
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2008 - 22:22
Фишка в том, что [cl] (PID = 0004) - это запись системой файла на диск. Левых дров вроде не видно, хуки вроде только от ЗонАларма,Нет, не розшарен.
Единственное, что непонятно:
Process: C:LE3815PH3cp.exe
---
С уважением,
Borka.
#9
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 22:38
Собственно, это и был RКU.
Он ведь ставиться со случайными именами, чтобы вируса не знали - у них это даже на офф. сайте пишет.
Значить, надежды никакой?
Даже не знаю, какой файл посылать в поддержку :(
Он ведь ставиться со случайными именами, чтобы вируса не знали - у них это даже на офф. сайте пишет.
Значить, надежды никакой?
Даже не знаю, какой файл посылать в поддержку :(
#10
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 24 Ноябрь 2008 - 22:48
Пусть бы все же Владимир посмотрел Morda.exe-хорошего в этой программе нет
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#11
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2008 - 22:53
Хм... У меня он ставится в папку RkUnhooker. ;)Собственно, это и был RКU.
Он ведь ставиться со случайными именами, чтобы вируса не знали - у них это даже на офф. сайте пишет.
Суппорт - последняя надежда.Значить, надежды никакой?
---
С уважением,
Borka.
#12
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 22:56
Это интерфейс от прокси-сервера CoolProxy. Стоит у меня больше года.
Просто автор так файл назвал :)
Просто автор так файл назвал :)
#13
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 22:56
Спрашивает ли суппорт данные о ключе?
#14
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Ноябрь 2008 - 22:58
Да. Полную проверку системы делали?
#15
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 24 Ноябрь 2008 - 23:03
Я понял...просто пробивал по поиску...на вирусинфо про него один негатив.
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#16
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 23:07
Делал. И просто полную, и безопасную проверку. И даже принес от соседа с чистого компьютера (там тоже Др.Веб) на флешке CureIt! и проверял в безопасном режиме - ничего не находит.
#17
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 23:09
Не могу ничего сказать, возможно там имееться в виду одноименный файл.
Прокси-работает надежно. Его графический интерфейс не имеет к вирусам отношения.
Насколько я читал о тех вирусах, которые описал в первом посте, они создают определенные файлы и ключи в регистре - у себя ни того, ни другого не нашел.
Прокси-работает надежно. Его графический интерфейс не имеет к вирусам отношения.
Насколько я читал о тех вирусах, которые описал в первом посте, они создают определенные файлы и ключи в регистре - у себя ни того, ни другого не нашел.
#18
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2008 - 23:11
Кроме впингвинивания по сети, у меня идей нет. :(
---
С уважением,
Borka.
---
С уважением,
Borka.
#19
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Ноябрь 2008 - 23:22
Сколько у вас дисков?
#20
FLAGER
-
- Members
- 13 Сообщений:
Newbie
Отправлено 24 Ноябрь 2008 - 23:30
Не могу грешить на стенку, ZoneAlarm в числе лидеров. Да и сеть не первый год у меня.
Один физический диск, разбит на 3 разделы C, D, E.
Иногда есть еще диск Z - виртуальный от Денвера.
Один физический диск, разбит на 3 разделы C, D, E.
Иногда есть еще диск Z - виртуальный от Денвера.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
