Не лечатся Trojan.DownLoad и Win32.Alman
#1
Отправлено 24 Ноябрь 2008 - 08:44
23-11-2008 20:56:18 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 20:56:18 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:03:35 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 21:03:35 [CL] (PID = 0004) C:setup.exe - зцiлений
23-11-2008 21:25:12 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:25:12 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:35:34 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:35:34 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 21:40:27 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
23-11-2008 21:40:27 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
23-11-2008 22:29:36 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:29:36 [CL] (PID = 0004) C:setup.exe - зцiлений
23-11-2008 22:33:24 [CL] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:33:24 [CL] (PID = 0004) C:setup.exe - зцiлений
То есть он лечит файлы - но их после этого нет, да и не было у меня таких файлов никогда. Полная проверка не дала результатов. Полная проверка в безопасном режиме тоже ничего не найшла. И процеса с данным PID-ом тоже нет и не было.
Помогите, пожалуйста.
#2
Отправлено 24 Ноябрь 2008 - 09:44
http://wiki.drweb.com/index.php/HijackThis
+лог сканера с быстрой проверкой
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#3
Отправлено 24 Ноябрь 2008 - 10:12
#4
Отправлено 24 Ноябрь 2008 - 10:33
В ХР PID равный 4 имеет системный процесс.И процеса с данным PID-ом тоже нет и не было.
#5
Отправлено 24 Ноябрь 2008 - 18:49
Спасибо всем за отзывы. Логи сканера, информация о системе и лог ХайДжека в архиве.
#6
Отправлено 24 Ноябрь 2008 - 19:02
---
С уважением,
Borka.
#7
Отправлено 24 Ноябрь 2008 - 20:15
У меня стоит стенка ZoneAlarm.
Я всю ИТ-жизнь успешно боролся с вирусами, и не только у себя. Просто этот случай уникален, сам не могу справиться.
Возможный путь попадания вируса - через флешку. Хотя спайдер никогда не выключаю - стоит проверка всех файлов, кроме файлов в архивах.
#8
Отправлено 24 Ноябрь 2008 - 22:22
Фишка в том, что [cl] (PID = 0004) - это запись системой файла на диск. Левых дров вроде не видно, хуки вроде только от ЗонАларма,Нет, не розшарен.
Единственное, что непонятно:
Process: C:LE3815PH3cp.exe
---
С уважением,
Borka.
#9
Отправлено 24 Ноябрь 2008 - 22:38
Он ведь ставиться со случайными именами, чтобы вируса не знали - у них это даже на офф. сайте пишет.
Значить, надежды никакой?
Даже не знаю, какой файл посылать в поддержку :(
#10
Отправлено 24 Ноябрь 2008 - 22:48
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#11
Отправлено 24 Ноябрь 2008 - 22:53
Хм... У меня он ставится в папку RkUnhooker. ;)Собственно, это и был RКU.
Он ведь ставиться со случайными именами, чтобы вируса не знали - у них это даже на офф. сайте пишет.
Суппорт - последняя надежда.Значить, надежды никакой?
---
С уважением,
Borka.
#12
Отправлено 24 Ноябрь 2008 - 22:56
Просто автор так файл назвал :)
#13
Отправлено 24 Ноябрь 2008 - 22:56
#14
Отправлено 24 Ноябрь 2008 - 22:58
#15
Отправлено 24 Ноябрь 2008 - 23:03
-------------------------------------------
http://mrbelyash.narod.ru/utils.html ,Искренне Ваш,мистер Беляш
#16
Отправлено 24 Ноябрь 2008 - 23:07
#17
Отправлено 24 Ноябрь 2008 - 23:09
Прокси-работает надежно. Его графический интерфейс не имеет к вирусам отношения.
Насколько я читал о тех вирусах, которые описал в первом посте, они создают определенные файлы и ключи в регистре - у себя ни того, ни другого не нашел.
#18
Отправлено 24 Ноябрь 2008 - 23:11
---
С уважением,
Borka.
#19
Отправлено 24 Ноябрь 2008 - 23:22
#20
Отправлено 24 Ноябрь 2008 - 23:30
Один физический диск, разбит на 3 разделы C, D, E.
Иногда есть еще диск Z - виртуальный от Денвера.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых