Перейти к содержимому


Фото
- - - - -

Dr.Web Cureit не работает

логи Hijack Cureit антивирус GMER RKU Dr.Web сканер утилиты dwsysinfo

  • Please log in to reply
21 ответов в этой теме

#1 leo1012

leo1012

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 01 Апрель 2012 - 17:58

Добрый вечер,хелперы!
Очень давно пользуюсь утилитой Dr.Web Cureit и был ей в целом доволен.Однако около 2-х недель назад я был удивлен.Запустив в очередной раз Dr.Web Cureit(скачан с офиц.сайта)и запустив его в безопасном режиме на автоматической(быстрой) проверке и дойдя до проверки С:\Windows\system32\D3dCompiler_36.dll утилита вставала и более не проверяла.Ожидал прилично,раннее автомат.(быстрая)проверка проходила с весьма заметной скоростью.
Проверил свою ЭВМ Kaspersky Internet Security 2012 и Kaspersky Virus Removal Tool После этого запустил другие диструбутивы Dr.Web Cureit.: на 1-ом проверка останавливается на С:\Windows\system32\D3dCompiler_J6.dll ,а 2-ом на С:\Windows\system32\D3dCompiler_35.dll .
На сегодняшний день сделал логи,в соответствии с правилами . Сureit -ом разумеется не сделал.Запуск не получилось осуществить от имени администратора(хоть у меня и XP,serv.pack 3)выдавалось такие сообщения:" Приложение ,выполняющее эту операцию , указанному файлу не сопоставлено .Произведите сопоставление панели управления "Свойства папки" ".В обычном режиме сделал логи : 1 лог dwsysinfo, 2 лог HijackThis, 3 лог RKU , 4 GMER и 5лог DrWebScanner .
На время проверки был отключен базовый антивирус,были открыты только браузер Google Chrome(интернет(сеть) отключил) и Word 2010.Все скачано с оф.сайтов либо с вашего.Если понадобиться описать конфигурацию ЭВМ в следующих постах опишу,а то это и так вышло приличное.
Надеюсь Dr.Web Cureit после ваших комментариев у меня более не будет зависать.

Прикрепленные файлы:


Сообщение было изменено leo1012: 01 Апрель 2012 - 18:00


#2 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 01 Апрель 2012 - 18:35

Заражение налицо.
F2 - REG:system.ini: UserInit=userinit.exe (filesize 26624 bytes, MD5 4F88778DD0CD6B99FCDA408E16B36AE7)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Это нужно ?
O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
Если у вас каспер почему у них не лечитесь ?

Сообщение было изменено Partizan: 01 Апрель 2012 - 18:35

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#3 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 01 Апрель 2012 - 18:41

# This HOSTS file created by Dr.Web Scanner for Windows
Spoiler

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#4 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 278 Сообщений:

Отправлено 01 Апрель 2012 - 18:42

Partizan, чем вам ctfmon не угодил?

#5 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 01 Апрель 2012 - 18:51

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe - вот это только и должно быть в нормальном состоянии. ЭТО НЕ НАДО УДАЛЯТЬ,

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#6 leo1012

leo1012

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 01 Апрель 2012 - 20:36

Заражение налицо.

А процедура лечения-это нужно пофиксить HiJack This или как ?

Это нужно ?
O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab

Trusted Zone в переводе означает доверенная зона,т.е.гиперссылки при переходе все рабочие, но сам не припомню,что добавлял все это ......Можно об этом тоже поподробнее?

Если у вас каспер почему у них не лечитесь ?

Спрашивать почему не работает бесплатная утилита Dr.Cureit для домашних пользователей ,когда ихние методы защиты говорят,что у меня все нормально с ЭВМ.Да и у них вроде несколько иные правила для логов.Как бы то не было значительное время и на лицензионном Вебе сидел.

# This HOSTS file created by Dr.Web Scanner for Windows

Hosts я сам вручную изменил, т.к. достают частые сообщения с обновлениями,сорри ,что не предупредил.

Сообщение было изменено leo1012: 01 Апрель 2012 - 20:38


#7 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 01 Апрель 2012 - 21:13

Ну это может говорить о том, что в системе есть нечто неподвластное управлению. Попробуйте выключить и выгрузить Каспера. Затем запустить Курейт и отказаться от защитного экрана.
или запустить его из ком. строки с параметром cureit.exe /not_use_shield
Spoiler


Spoiler


Spoiler

Сообщение было изменено Partizan: 01 Апрель 2012 - 21:15

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#8 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 01 Апрель 2012 - 21:17

Заражение налицо.
F2 - REG:system.ini: UserInit=userinit.exe (filesize 26624 bytes, MD5 4F88778DD0CD6B99FCDA408E16B36AE7)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Где?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#9 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 278 Сообщений:

Отправлено 01 Апрель 2012 - 21:23

Вот я тоже в упор не вижу среди этих строк ничего нелегитимного.

#10 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 01 Апрель 2012 - 21:25

Вот я тоже в упор не вижу среди этих строк ничего нелегитимного.


Ага, тоже долго пытался понять... :facepalm:
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 01 Апрель 2012 - 21:42

На вылеченной системе этого не наблюдается. (глубже не знаю).С

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#12 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 01 Апрель 2012 - 21:49

Залечили?

мамадарахая

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#13 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 01 Апрель 2012 - 22:01

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

Подобные вещи говорят всего лишь о том, что систему несколько раз переустанавливали без форматитрования ЖД.

#14 pig

pig

    Бредогенератор

  • Helpers
  • 10 651 Сообщений:

Отправлено 01 Апрель 2012 - 23:53

IMHO, подобные вещи в принципе характерны для WinXP. Это дефолтная настройка пользовательского профиля, поэтому и в системные профили попадает. Возымеет действие в очень сильно гипотетической ситуации: когда некто запустит под такой учётной записью Проводник. И то если в режиме шелла (последняя фраза ещё более IMHO).

Сообщение было изменено pig: 01 Апрель 2012 - 23:54

Почтовый сервер Eserv тоже работает с Dr.Web

#15 leo1012

leo1012

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 02 Апрель 2012 - 01:19

Ну это может говорить о том, что в системе есть нечто неподвластное управлению. Попробуйте выключить и выгрузить Каспера. Затем запустить Курейт и отказаться от защитного экрана.

До этого запускал утилиту в безопасном режиме где и так не нужно отключать и выгружать Касперского.
После этого поста приостановил защиту и выгрузил KIS 2012.Феноменально,но Cureit прошел автоматическую(быструю)проверку,в которой не было обнаружено ни одного вируса.
Полную проверку запущу на днях.Однако,также буду рад прочитать новые посты форумчан,особенно хелперов.

#16 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 02 Апрель 2012 - 02:20

До этого запускал утилиту в безопасном режиме где и так не нужно отключать и выгружать Касперского

Такого режима нет. Есть режим усиленной защиты, в нем утилита запускается на отдельном рабочем столе, что не мешает драйверам касперского мешать проверке.

#17 leo1012

leo1012

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 13 Апрель 2012 - 00:38

Т.к.логи мной прежде сделаны,но вопрос еще остается открытым, дописываю в теме интересную особенность,а именно сообщение об ошибке при запуске Cureit.См. 2 и 3 фото.
Сейчас не дожидаясь быстрой проверки в безоп.режиме,т.к. встает прога на тех же ошибках я
делаю отмену быстрой проверке и запускаю полную.Однако на полной приблизительно тот же
ступор.См.1-ое фото.
Почему у меня не работает Cureit ?

Прикрепленные файлы:


Сообщение было изменено leo1012: 13 Апрель 2012 - 00:40


#18 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 13 Апрель 2012 - 01:25

CureIt! новый хоть скачали?

#19 leo1012

leo1012

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 13 Апрель 2012 - 02:03

CureIt! новый хоть скачали?

Да,конечно же скачал и запускал на своем ПК новую версию.
Я в курсе,что версия CureIt обновляется несколько раз в день .

Сообщение было изменено leo1012: 13 Апрель 2012 - 02:05


#20 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 13 Апрель 2012 - 22:32

leo1012,
назовите файл cureit cureit.exe, запустите cureit с такими параметрами ком. строки
cureit.exe /fast /dbg:2 /rpcureit.log
(или создайте в папке с cureit.exe файл test.bat c этой строкой и запустите его)
в папке с cureit будут файлы drweb32.dbg, cureit.log - их в архиве сюда.



Also tagged with one or more of these keywords: логи, Hijack, Cureit, антивирус, GMER, RKU, Dr.Web сканер, утилиты, dwsysinfo

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых