97 ответов в этой теме

[Marken]

Поставил демо версию Dr Web, уже сделал заказ на покупку лицензии, как появилась проблема: Компьютер заразился вирусом, который блокирует работу Dr Web (сканер при загрузке выдает стандартное сообщение об ошибке с предложением отправить отчет, так же как и Curelt; spidermail начинает проверять какие-то письма, только ему известно, где он их берет; spiderguard находит различные вирусы с периодичностью раз в одну - две минуты, а при очередной перезагрузке и вовсе не включается) После переустановки антивируса все повторяется с точностью. Систему не раз переустанавливал - проблема повторяется. Сам вирус проявляется тем, что замедляет работу системы, блокирует открытие ряда окон в интернете, открываются различные окошки с рекламой сомнительного софта (например- sanitardiska, antivirus 2009 и др.), различных онлайн игр и др. Кто может подсказать что-нибудь по этому поводу - буду очень благодарен.

[Pavel Plotnikov]

Техническая поддержка
--
С уважением, Pavel

[pig]

А также Windows Update, Opera. Но это после изгнания вредоносного программного обеспечения.

[sdf]

Примерно такая же ситуация!спайдер нашёл 2 виря в винде в систем 32 я их удалил но доктор перестал загружаться( при его запуске загарается окно с пауком и потом его вышибает,такая же фигня при проверке отдельных файлов),Решил перезагрузить комп не помогло,снёс поставил его непомогло,потом один вирь появился снова ...чё делать то?винде хана чтоль?
вот собственно лог

[pig]

А техподдержка что говорит?

[sdf]

отписал теперь жду ответа

[eugenius]

Утро Длброе!
Вы не одиноки. Бьюсь с этим вопросом тоже, но с 26 июля с.г.. Заразился, похоже, 22 июля через Интернет, потому как вчера нашли dll от этого же числа. У меня это сотворил Trojan.Virtumod.456. Работаю с техподдержкой. Отрабатываем уже третий по счёту запрос ticket=NPK6-0995. Уже в этой же куче нашли Trojan.Virtumod.458 у меня и у кого-то - 460, но всё равно пока в обычном режиме - ни ДрВеб, ни утилита CureIt не запускаются.

Как и у Вас "...открываются различные окошки с рекламой сомнительного софта (например- sanitardiska, antivirus 2009 и др.), различных онлайн игр..."
Так что в интернете могу работать только в безопасном режиме.

Пока, что могу, так это - отправляю логи в техподдержку: drweb32w.log; hijackthis.log от утилиты hijackthis.exe: Report.txt от утилиты RootKit. После просмотра - файлы, какие скажут, и после проверки в их вируслабе вот 2 вируса нашли. Третий - Trojan.Virtumod.460, ни у Вас ли нашли?

Причём, вчера ещё один глюк словил. ДрВеб сказал что утилита hijackthis.exe возможно инфицирована WIN.SCRIPT.Virus. Качал утилиту с сайта разработчика, который посоветовала техподдержка. Туда про это написал, эту утилиту смог закарантинить, ответа пока не получил.
Кто бы подсазал, что ещё можно сделать? А то задолбался уже. Вторая неделя пошла, никакой работы, сплошное отлавливание этого вируса. Причём, ведёт себя, как хочет! То включает эти окошки и мешает печатать, то, похоже "уходит отдыхать", а окошки висят, через них, если тронешь, начинают появляться окна загрузки каких-то файлов. Обидно, да?

Кто-нибудь, подскажите, были ли такие вопросы и если справились, то как?
Буду, Ну, оченно благодарен! :-)

[userr]

Уже в этой же куче нашли Trojan.Virtumod.458 у меня и у кого-то - 460, но всё равно пока в обычном режиме - ни ДрВеб, ни утилита CureIt не запускаются.

А в безопасном запускаются и ДрВеб и CureIt ?

Причём, вчера ещё один глюк словил. ДрВеб сказал что утилита hijackthis.exe возможно инфицирована WIN.SCRIPT.Virus. Качал утилиту с сайта разработчика, который посоветовала техподдержка.

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe ver 2.00.0002, 401 720 байт - нормально, Доктор не ругается.

Можем попробовать и здесь Вам помочь.
Сделайте лог HiJackThis в обычном режиме. Запустите CureIt в безопасном режиме, сделайте выборочную проверку папки windows. Логи В АРХИВЕ! (zip,rar...) приложите сюда. В Internet Explorer удалите все временные файлы (сервис-свойства обозревателя...)

[eugenius]

А в безопасном запускаются и ДрВеб и CureIt ?

Да, конечно, я только так и проверяю сейчас. Но пока не находится более :-)

http://www.trendsecure.com/portal/en-US/_download/Hi... ver 2.00.0002, 401 720 байт - нормально, Доктор не ругается.

Здесь я уже понял, или глюк или на самом деле что цепляет. Была тема в общих вопросах. Я сегодня смотрел. Такой же случай был в конце июля у кого-то. После обновления это предположение DrWeb снимал. Там тоже была ссылка на вирус WIN.?.Virus, серединку не помню :-). Сейчас у меня тоже нормально.

Можем попробовать и здесь Вам помочь.

Буду очень признателен :-)

Сделайте HiJackThis в обычном режиме. Запустите CureIt в безопасном режиме, сделайте выборочную проверку папки windows. Логи В АРХИВЕ! (zip,rar...) приложите сюда. В Internet Explorer удалите все временные файлы (сервис-свойства обозревателя...)

Можно уточнить шаги?
1. Лог HiJackThis сделать в обычном режиме до проверки CureIT? Или после того как проверю папку windows?
2. В Internet Explorer удалите все временные файлы до проверки папки и создания лога?

Более того предполагаю, что вирус висит в
O4 - HKLM..Run: [8075e94b] rundll32.exe "C:WINDOWSsystem32vritiaar.dll",b
Потому как уже в этой строке отчёта находили dll, в которой был потом вирус. Да и сама dll или изменилась, или появилась только что, 02.08.08 в 01:18, когда делал я последние проверки. Эту dll отправил сам в вируслаб - тикет [drweb.com #525304]. Уже раз напомнил про себя по мылу. Ответа нет
Ещё интересно. Файл rundll32.exe находится по поиску в ТоталКомандёре в двух местах
c:WINDOWSsystem32 и
c:WINDOWSsystem32dllcache
Пробовал проверить его через смотрелку http://my.drweb.com/, но она в обзоре первый путь показывает и вируса не находит, а второй путь - не показывает, хотя Командёр её видит. Кнопка "Показывать скрытые файлы и папки" в проводнике включена. Шо за дела? - не пойму!
Прошу прощения за многословность - НАБОЛЕЛО, а вирус замордовал. Похоже, он сам себя плодит как-то. А где концы его найти - не знаю и никто пока не подскажет.
Буду очень признателен Вам за поддержку штанов! :-)

P.S. Проверку делать именно утилитой CureIT, или можно DrWeb. Мне почему-то показалось, что DrWeb обновляется намного раньше, чем обновляется утилита, Или это мой домысел?
Удачи и Всех Благ!
EuGenius

[Borka]

1. Лог HiJackThis сделать в обычном режиме до проверки CureIT? Или после того как проверю папку windows?

Можно после. Если Доктор чего найдет и почистит - меньше мусора останется.

2. В Internet Explorer удалите все временные файлы до проверки папки и создания лога?

Без разницы. Кэш браузера может интересовать только с точки зрения того, что было...

Более того предполагаю, что вирус висит в
O4 - HKLM..Run: [8075e94b] rundll32.exe "C:WINDOWSsystem32vritiaar.dll",b

Не исключено.

Ещё интересно. Файл rundll32.exe находится по поиску в ТоталКомандёре в двух местах
c:WINDOWSsystem32 и
c:WINDOWSsystem32dllcache

Это правильно. Так и должно быть.

P.S. Проверку делать именно утилитой CureIT, или можно DrWeb.

Я бы делал Доктором. КуреИт нужен свежий - а это лишний траффик. А обновления весят мало.

---
С уважением,
Borka.

[eugenius]

Благодарю за заботу и доверие.
Прям так по списку и пойдём :-)
(классика советского юмора, Жванецкий, Ильченко, Карцев)
_________________
Удачи и Всех Благ!
EuGenius

[eugenius]

Можем попробовать и здесь Вам помочь.
Сделайте лог HiJackThis в обычном режиме. Запустите CureIt в безопасном режиме, сделайте выборочную проверку папки windows. Логи В АРХИВЕ! (zip,rar...) приложите сюда. В Internet Explorer удалите все временные файлы (сервис-свойства обозревателя...)

В Internet Explorer удалил все временные файлы
Провел обновлённым DrWeb в безопасном режиме выборочную проверку c:WINDOWS, а также c:Documents and Settings. Сейчас сделаю в обычном лог от HiJackThis, для чего нужен перегруз (я сейчас в безопасном) и готов отправить Вам архивы архивы логов
_________________
Удачи и Всех Благ!
EuGenius

[eugenius]

Ну вот, только зашёл в обычный режим, он тут как тут. Опять мой вирус (мы уж с ним сроднились - никак вторая неделя началась...) на аглицком мне про шпионские страсти, и печатать не даёт, зззарррраза. Высылаю логи в архивах. Буду рад и благодарен за помошь.
Я так понял, что здесь только по одному файлу можно посылать. Поэтому второй лог DrWeb-а вышлю следующим сообщением. По-другому, я пока не умею, т.к. не понимаю покамест :-)
_________________
Удачи и Всех Благ!
EuGenius

[eugenius]

здесь лог DrWeb-а
_________________
Удачи и Всех Благ!
EuGenius

[Borka]

Загрузитесь в безопасном режиме и пофиксите в Хайджеке:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.finfreedom.ru/
O3 - Toolbar: qndsfmao - {3FCAEB7D-F8AE-4A67-AE6C-57EE1416BB6D} - (no file)
O4 - HKLM..Run: [OrderReminder] C:Program FilesHewlett-PackardOrderReminderOrderReminder.exe
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [8075e94b] rundll32.exe "C:WINDOWSsystem32vritiaar.dll",b
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe

Вот это зело похоже на вирус:
O23 - Service: C0D4BE82 - Unknown owner - C:WINDOWSsystem32C0D4BE82.exe - пофиксите в Хайджеке и зашлите файл на анализ в Вирлаб.

Повторите лог после фиксов в Хайджеке.

---
С уважением,
Borka.

[eugenius]

Загрузитесь в безопасном режиме и пофиксите в Хайджеке:

Простите, что надо сделать (профиксить - это как) в безопасном режиме? Я в нём. Вчера почему-то не увидел Ваше сообщение

Вот это зело похоже на вирус:
O23 - Service: C0D4BE82 - Unknown owner - C:WINDOWSsystem32C0D4BE82.exe - пофиксите в Хайджеке и зашлите файл на анализ в Вирлаб.

Этот файл я отдавал через техподдержку 31 июля еще вместе с другой rsumqvmt.dll. На неё сказали, что вирус (я по простоте своей душевной не всё фиксировал). Но удалялась она, когда её обнаружил доктор, как-то криво. Потом при перегазрузке выскакивало несколько раз, что не найден к ней путь. А про этот файл C0D4BE82.exe почему-то молчок.

O4 - HKLM..Run: [8075e94b] rundll32.exe "C:WINDOWSsystem32vritiaar.dll",b

Вот в этой строке была rsumqvmt.dll с вирусом, который обнаружили. 02.08 я отправил в вирлаб vritiaar.dll - молчат.
И всё же, что такое фиксы? Что мне надо сделать?
Кстати, вчера в безопасном вдруг перестал работать сканер Доктора, выдал ошибку, как выдает её и в безопасном. Сейчас пока, слава Богу, запустился, но новых вирусов не нашёл.
_________________
Удачи и Всех Благ!
EuGenius

[Borka]

профиксить - это как

Запускаете Хайджек, слева в нужных квадратиках расставляете птиц, затем выбираете "Fix checked", повторяете лог.

выдал ошибку, как выдает её и в безопасном.

Процитируйте ошибку.

---
С уважением,
Borka.

[eugenius]

выдал ошибку, как выдает её и в безопасном.

Процитируйте ошибку.

Такая же, какую выдаёт сканер сейчас в безопасном режиме - картинку прикрепил в файл архива с логами

Было обновление базы. Я как раз перед вашим сообщением сделал лог на ХайДжеке
Файл "C:WINDOWSsystem32vritiaar.dll",b из строки 04 скрылся, но появился другой -
O4 - HKLM..Run: [8075e94b] rundll32.exe "C:WINDOWSsystem32mudeokmh.dll",b
Появилась ещё одна строка новая -
O2 - BHO: (no name) - {D2166D0F-F4E4-4CF0-8685-9E1987B87DC0} - C:WINDOWSsystem32nnnkHwWP.dll
Ну и старая строка 023 осталась -
O23 - Service: C0D4BE82 - Unknown owner - C:WINDOWSsystem32C0D4BE82.exe

Все эти 4 файла я провепил через лабораторию VirusTotal. Все 4 - инфицтрованы с данными от 6/36 до 14/36
А наш DrWeb всё нмкак с ними не раэберётся.
Файл vritiaar.dll посылал вчера в 01:42 сам. Файл C0D4BE82.exe отдавал 31.07 в техподдержку, сказали что отправили, но результата мол не было. Я не знаю, как это у них так получается?
Сейчас буду фиксить те строки, которые Вы указали. Вопрос, а с нового лога может тоже стоит отметить эти файлы. Я не знаю, пока, что за процесс происходит после этой фиксации:-) Но я понимаю, что таким образом выявляются вирусы.
И ещё, в описаловке (спасибо, только что нашёл у VirusInfo) написано что потом надо делать перегруз компутера. Так лог, который надо сделать после фиксации, его делать до перегруза или после перегруза компутера?

Спасибо
_________________
Удачи и Всех Благ!
EuGenius

[userr]

Этот файл (C0D4BE82.exe) я отдавал через техподдержку 31 июля еще вместе с другой rsumqvmt.dll ... 02.08 я отправил в вирлаб vritiaar.dll - молчат.

Номера тикетов из вирлаба приведите.

C:WINDOWSsystem32C0D4BE82.exe
C:WINDOWSsystem32vritiaar.dll

скопируйте эти файлы в другую папку - получится? Проверьте их c нового места на http://www.virustotal.com/ru/ , ссылку на результаты покажите здесь.

[userr]

Предыдущее письмо я писал, когда не видел ещё Вашего письма от 16:56:51 .

Все эти 4 файла я провепил через лабораторию VirusTotal. Все 4 - инфицтрованы с данными от 6/36 до 14/36

Покажите результаты (или ссылки на них).

Такая же, какую выдаёт сканер сейчас в безопасном режиме - картинку прикрепил в файл архива с логами

Эта картинка разве из безопасного режима? А откуда лог, если сканер не запускается?
Нужен подробный лог. Cureit по умолчанию делает такой, а сканер нет. Уже имеющийся лог сотрите или переместите. После запуска сканера в настройках выставьте все детали лога и проверьте папку windows. Лог в архиве сюда.