Вирус не лечится DrWeb
#1
Отправлено 25 Сентябрь 2008 - 15:16
устанавливает в настройках сети dns сервера 85.255.113.122, 85.255.112.83
после любого исправления в реестре этих параметров, или в сеть->свойства значения эти восстанавливает снова.
Как победить?
Спасибо.
#2
Отправлено 25 Сентябрь 2008 - 15:25
У Вас установлен drweb? Сканер запускается ? Приведите версию файла сканера, имя папки с drweb. "не лечится" - сканер не находит вирус, или находит но не может вылечить?Вирус не лечится DrWeb
#3
Отправлено 25 Сентябрь 2008 - 16:10
В трее есть активная иконка DrWeb монитора.
DrWeb сканер и монитор не находят вирус.
Какие действия можно предпринять, и какие log нужно выслать
Но я не одинок...
http://www.google.ru/search?complete=1&hl=...BA&lr=&aq=f&oq=
Спасибо.
#4
Отправлено 25 Сентябрь 2008 - 16:15
Отметьте все позиции и архив приложите сюда
-------------------------------------------
http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш
#5
Отправлено 25 Сентябрь 2008 - 17:26
Пожалуйста, отвечайте на все вопросы, иначе Вам нельзя будет помочь.Какие действия можно предпринять, и какие log нужно выслать
Скачайте файл http://slil.ru/26151362 Запускаете, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.
Скачайте HiJackThis http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe покажите лог.
При лечении выдернуть шнур Интернета
#7
Отправлено 26 Сентябрь 2008 - 10:28
DrWeb ставил без планировщика, но иконка планировщика появляется в трее.
После деинсталяции DrWeb и попытке установить kav_2009, kav сказал что DrWeb установлен.
Regedit -> по словам DrWeb вычистил реестр, но kav говорит, что DrWeb установлен, и не хочет ставиться.
На исправной машине такого не происходит.
При копировании на диск RkUnhooker и его запуске, RkUnhooker сказал "parasite inside".
log прилагается.
#8
Отправлено 26 Сентябрь 2008 - 10:48
#9
Отправлено 26 Сентябрь 2008 - 14:23
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM..Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM..Run: [C:WINDOWSsystem32kdoqq.exe] C:WINDOWSsystem32kdoqq.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Файлы:
C:WINDOWSsystem32kdoqq.exe
mqrt.dll
C:Program FilesCommon FilesProtexisLicense ServicePSIService.exe
C:WINDOWSsystem32inetsrvinetinfo.exe
прислать в Вирлаб: http://support.drweb.com/sendnew/
---
С уважением,
Borka.
#10
Отправлено 26 Сентябрь 2008 - 20:54
DNS сервер теперь можно установить любой, все работает как раньше, и видимых проявлений вируса не заметно.
Хочется, чтобы вирус был добавлен в базу, но ситуация такова, что файлы mqrt.dll и kdoqq.exe исчезли после запуска программы avz. Которой тоже пробовали сканировать комп.
Т.е. вирус пробовали лечить DrWeb и KAV.
Параллельная ветка в форуме про KAV
http://forum.kaspersky.com/index.php?showtopic=85833
Можно ли эти файлы как-то извлечь из log/карантинов avz?
Это был домашний компьютер нашего Вахтера. Он шляется по интеренету где попало. Поэтому его донимают вирусы. А он донимает нас. Поэтому хочется, чтобы оно было добавлено в базы DrWeb и KAV
И еще вот что: вирус пробовали лечить и KAV и DrWeb. - Был деинсталлирован KAV, и был установлен DrWeb 4.44. После DrWeb был деинсталлирован. После этого снова пробовали ставить KAV, - KAV отказывается устанавливаться, т.к. пишет что DrWeb 4.33 (а не 4.44!!) установлен. Чистка реестра и диска не дала результатов.
На исправном компьютере деинсталляция DrWeb и последующая установка KAV происходят ok.
Не может быть это проявлением не до конца вылеченного вируса?
#11
Отправлено 26 Сентябрь 2008 - 21:29
Вероятно, да. Насколько я помню, там рядом должен быть файл с описанием - откуда взят файл и как назывался.Можно ли эти файлы как-то извлечь из log/карантинов avz?
---
С уважением,
Borka.
#12
Отправлено 26 Сентябрь 2008 - 21:33
-------------------------------------------
http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш
#13
Отправлено 26 Сентябрь 2008 - 22:04
"Можно ли эти файлы как-то извлечь из log/карантинов avz?"
В папке с AVZ должна быть папка "карантин" куда складывается вся бяка, по датам сканирования, переименованные в типа avz0000.dta. Вот там и надо искать.
#14
Отправлено 26 Сентябрь 2008 - 22:12
DNS сервер
DNS можно остановить вообще как сервис, тем самым заставив все преложения делать свои DNS запросы:
Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт DOMAIN
и Где удаленный адрес
Разрешить эти данные (для приложений в обязаловку(фаервол)
Allow DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт DOMAIN
и Где удаленный адрес
Разрешить эти данные (для приложений если требуется TCP(фаервол)
---------------------------------------
Системные правила (для фаервол):
Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт DOMAIN
Блокировать эти данные
и Дать отчет
Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт DOMAIN
Блокировать эти данные
и Дать отчет
Эти правила помогут выявить и блокировать любые попытки несанкционированного доступа.
-------------------------------------------------------------------
Нет больше ВшивыхХвостов.ехе со своими уязвимостями.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых