13 ответов в этой теме

[goshka]

Проявления такие:
устанавливает в настройках сети dns сервера 85.255.113.122, 85.255.112.83
после любого исправления в реестре этих параметров, или в сеть->свойства значения эти восстанавливает снова.

Как победить?

Спасибо.

[userr]

Вирус не лечится DrWeb

У Вас установлен drweb? Сканер запускается ? Приведите версию файла сканера, имя папки с drweb. "не лечится" - сканер не находит вирус, или находит но не может вылечить?

[goshka]

Последний DrWeb 4.44 с последними базами.
В трее есть активная иконка DrWeb монитора.

DrWeb сканер и монитор не находят вирус.

Какие действия можно предпринять, и какие log нужно выслать

Но я не одинок...

http://www.google.ru/search?complete=1&hl=...BA&lr=&aq=f&oq=

Спасибо.

[mrbelyash]

http://mrbelyash.narod.ru/drweb/install2.exe
Отметьте все позиции и архив приложите сюда
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[userr]

Какие действия можно предпринять, и какие log нужно выслать

Пожалуйста, отвечайте на все вопросы, иначе Вам нельзя будет помочь.

Скачайте файл http://slil.ru/26151362 Запускаете, переходите на вкладку Report, кнопка Scan, убираете птичку на Files, меню File-save report. Покажите здесь.

Скачайте HiJackThis http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe покажите лог.

При лечении выдернуть шнур Интернета

[Eugeny Gladkih]

вы выполнили то, что на форуме ЛК вам сказали?
Dr.Web

[goshka]

Дополнительно, imxo, он может маскироваться под планировщик DrWeb.

DrWeb ставил без планировщика, но иконка планировщика появляется в трее.

После деинсталяции DrWeb и попытке установить kav_2009, kav сказал что DrWeb установлен.

Regedit -> по словам DrWeb вычистил реестр, но kav говорит, что DrWeb установлен, и не хочет ставиться.

На исправной машине такого не происходит.

При копировании на диск RkUnhooker и его запуске, RkUnhooker сказал "parasite inside".

log прилагается.

[goshka]

log hijackthis.txt

[Borka]

Пофиксите:
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM..Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM..Run: [C:WINDOWSsystem32kdoqq.exe] C:WINDOWSsystem32kdoqq.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Файлы:
C:WINDOWSsystem32kdoqq.exe
mqrt.dll
C:Program FilesCommon FilesProtexisLicense ServicePSIService.exe
C:WINDOWSsystem32inetsrvinetinfo.exe
прислать в Вирлаб: http://support.drweb.com/sendnew/


---
С уважением,
Borka.

[gosha]

Спасибо. Помогло.

DNS сервер теперь можно установить любой, все работает как раньше, и видимых проявлений вируса не заметно.

Хочется, чтобы вирус был добавлен в базу, но ситуация такова, что файлы mqrt.dll и kdoqq.exe исчезли после запуска программы avz. Которой тоже пробовали сканировать комп.
Т.е. вирус пробовали лечить DrWeb и KAV.
Параллельная ветка в форуме про KAV
http://forum.kaspersky.com/index.php?showtopic=85833

Можно ли эти файлы как-то извлечь из log/карантинов avz?

Это был домашний компьютер нашего Вахтера. Он шляется по интеренету где попало. Поэтому его донимают вирусы. А он донимает нас. Поэтому хочется, чтобы оно было добавлено в базы DrWeb и KAV

И еще вот что: вирус пробовали лечить и KAV и DrWeb. - Был деинсталлирован KAV, и был установлен DrWeb 4.44. После DrWeb был деинсталлирован. После этого снова пробовали ставить KAV, - KAV отказывается устанавливаться, т.к. пишет что DrWeb 4.33 (а не 4.44!!) установлен. Чистка реестра и диска не дала результатов.

На исправном компьютере деинсталляция DrWeb и последующая установка KAV происходят ok.

Не может быть это проявлением не до конца вылеченного вируса?

[Borka]

Можно ли эти файлы как-то извлечь из log/карантинов avz?

Вероятно, да. Насколько я помню, там рядом должен быть файл с описанием - откуда взят файл и как назывался.

---
С уважением,
Borka.

[mrbelyash]

AVZ кидает их в темп...на что Спайдер частенько ругаицо
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[J-Aleks]

to gosha
"Можно ли эти файлы как-то извлечь из log/карантинов avz?"

В папке с AVZ должна быть папка "карантин" куда складывается вся бяка, по датам сканирования, переименованные в типа avz0000.dta. Вот там и надо искать.

[account has been deleted]

DNS сервер

DNS можно остановить вообще как сервис, тем самым заставив все преложения делать свои DNS запросы:

Allow DNS (UDP):
Где протокол UDP
и Где удаленный порт DOMAIN
и Где удаленный адрес
Разрешить эти данные (для приложений в обязаловку(фаервол)

Allow DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт DOMAIN
и Где удаленный адрес
Разрешить эти данные (для приложений если требуется TCP(фаервол)
---------------------------------------
Системные правила (для фаервол):

Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт DOMAIN
Блокировать эти данные
и Дать отчет

Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт DOMAIN
Блокировать эти данные
и Дать отчет

Эти правила помогут выявить и блокировать любые попытки несанкционированного доступа.
-------------------------------------------------------------------
Нет больше ВшивыхХвостов.ехе со своими уязвимостями.