149 ответов в этой теме

[Borka]

Тыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator

И что это было?

Всем спасибо за помощь.
Теперь вернёмся к главному вопросу этой темы.
Как запустить планировщик антивируса и как обновить антивирусные базы?

Пока активное заражение не ликвидировано, можно не задать этот вопрос. Думается, правильнее будет скачать КуреИт и выполнить логи (ВСЕ) по правилам применительно к "Установлен не Доктор 5.0" :

[Вирусная база] C:\Documents and Settings\All Users.WINDOWS\Application Data\Doctor Web\Bases\drwtoday.vdb - 262 вирусных записей

это несерьезно. Сейчас тудейка содержит 4136 записей.

Хайджек и regedit запускаются?

[nikita800]

И что это было?

Да фиг его знает

Хайджек и regedit запускаются?

Нет, но мне кажется это не из-за вирусов, а из-за моей кривой системы.

это несерьезно. Сейчас тудейка содержит 4136 записей.

У меня обновление от 23 марта сего года, т.е вы хотите сказать, что за 5 дней число вирусных записей в drwtoday.vdb увеличилось на несколько тысяч???

В инете нашел вот что:
Перед установкой дистрибутива Dr.Web следует обратить внимание — запущена ли служба «Планировщик заданий». Эта служба могла быть отключена при настройке системных служб для освобождения памяти в то время, когда использование Планировщика задач не было нужно. Чтобы убедиться, что сервис запущен выполните Пуск — Выполнить — services.msc.
Найдите службу «Планировщик заданий» и убедитесь, что в поле Состояние у нее Работает, а в поле Тип запуска — Авто.

Включаю эту службу

http://savepic.ru/525734.jpg

ерунда какая-то...посмотрел в зависимостях этой службы, с ней зависит Удалённый вызов процедур, но она работает. Я при установки винды отключал некоторые службы для повышения производительности. Может какие ещё службы надо включить?

...вирусов явно нет на компе, но сейчас проверю и выполню пункт "Установлен не Доктор 5.0", но все-таки здесь что-то другое мешает запустить Планировщик.

[Borka]

И что это было?

Да фиг его знает

Ну здрасьте! Вы что же, удалили, не посмотрев?

это несерьезно. Сейчас тудейка содержит 4136 записей.

У меня обновление от 23 марта сего года, т.е вы хотите сказать, что за 5 дней число вирусных записей в drwtoday.vdb увеличилось на несколько тысяч???

Если Вы мне не верите, зайдите на сайт.

но все-таки здесь что-то другое мешает запустить Планировщик.

Посмотреть бы в реестр...

[nikita800]

Вот логи после трехразового сканированиявместе с cureit-results.cab
Кстати, хоть я и скачал CureIt в C:\TEST, drweb-scan.bat всё время запускал сканер не CureIt, а DrWeb-а с обновлением от 23.03.2009, но тем не менее ни одного вируса найдено небыло.

 LogsScan.rar   499,18К   60 Скачано раз

[nikita800]

Ну здрасьте! Вы что же, удалили, не посмотрев?

По описанию это было
http://www.spywareterminator.com/de/item/4...rIRCBotctm.html

Посмотреть бы в реестр...

Файл regedit.exe могу кинуть в личку.

[Borka]

Вот логи после трехразового сканированиявместе с cureit-results.cab
Кстати, хоть я и скачал CureIt в C:\TEST, drweb-scan.bat всё время запускал сканер не CureIt, а DrWeb-а с обновлением от 23.03.2009, но тем не менее ни одного вируса найдено небыло.

Вообще-то для КуреИта несколько другой батник. Потому, естественно, вирусов не было найдено.

[Borka]

Посмотреть бы в реестр...

Файл regedit.exe могу кинуть в личку.

Во-первых, не можете. Во-вторых, он мне не нужен, у меня есть такой же.

Проверьте:
C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
C:\WINDOWS\system32\drivers\328.exe
C:\WINDOWS\system32\drivers\acpi32.sys

[nikita800]

Вообще-то для КуреИта несколько другой батник. Потому, естественно, вирусов не было найдено.

Ёмаё, и чо теперь делать?

[nikita800]

Проверьте:
C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
C:\WINDOWS\system32\drivers\328.exe
C:\WINDOWS\system32\drivers\acpi32.sys

Что значит проверить? Как? На чём?

[Borka]

Вообще-то для КуреИта несколько другой батник. Потому, естественно, вирусов не было найдено.

Ёмаё, и чо теперь делать?

Таки скачать КуреИт и запустить cureit-scan.bat

Проверьте:
C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
C:\WINDOWS\system32\drivers\328.exe
C:\WINDOWS\system32\drivers\acpi32.sys

Что значит проверить? Как? На чём?

На ВирусТотале, естественно.

[nikita800]

C:\WINDOWS\system32\drivers\acpi32.sys - уже убил Dr.Web обозвав его Trojan.NtRootKit.2763
Интересно, а не тот ли РутКит это, который выложен тут http://forum.drweb.com/index.php?showtopic=277652 в пункте RkU (Как сделать лог Хайджек и RkU)??? Может это от этой программы кусок?

[Borka]

C:\WINDOWS\system32\drivers\acpi32.sys - уже убил Dr.Web обозвав его Trojan.NtRootKit.2763
Интересно, а не тот ли РутКит это, который выложен тут http://forum.drweb.com/index.php?showtopic=277652 в пункте RkU (Как сделать лог Хайджек и RkU)??? Может это от этой программы кусок?

Какой кусок? От какой программы? РкУ - это как раз РутКитАнхукер, никак не троян.
Что по оставшимся файлам? После удаления acpi32.sys редактор реестра и Хайджек запускаются?

[nikita800]

C:\WINDOWS\system32\drivers\acpi32.sys - уже убил Dr.Web обозвав его Trojan.NtRootKit.2763
Интересно, а не тот ли РутКит это, который выложен тут http://forum.drweb.com/index.php?showtopic=277652 в пункте RkU (Как сделать лог Хайджек и RkU)??? Может это от этой программы кусок?

Какой кусок? От какой программы? РкУ - это как раз РутКитАнхукер, никак не троян.
Что по оставшимся файлам? После удаления acpi32.sys редактор реестра и Хайджек запускаются?

Ну ведь Радмин и VNC определяются как трояны, ProcessKiller прога тоже как троян определяется, вот и этот РутКит тоже может определяться как троян.

После удаления acpi32.sys редактор реестра и Хайджек запускаются?

Пока нет ещё.
После первого запуска сканера КуреИТ и найденого им Trojan.NtRootKit.2763 после окончания первого сканирования было предложена перезагрузка, сейчас опять идёт походу снова первое сканирование
C:\Test>xyz.pif /fast /al /ok /ar- /rpc:\test\cureit-fast.log

[Borka]

C:\WINDOWS\system32\drivers\acpi32.sys - уже убил Dr.Web обозвав его Trojan.NtRootKit.2763
Интересно, а не тот ли РутКит это, который выложен тут http://forum.drweb.com/index.php?showtopic=277652 в пункте RkU (Как сделать лог Хайджек и RkU)??? Может это от этой программы кусок?

Какой кусок? От какой программы? РкУ - это как раз РутКитАнхукер, никак не троян.
Что по оставшимся файлам? После удаления acpi32.sys редактор реестра и Хайджек запускаются?

Ну ведь Радмин и VNC определяются как трояны, ProcessKiller прога тоже как троян определяется, вот и этот РутКит тоже может определяться как троян.

Нет.
Остальные файлы на ВирусТотале проверили?

[nikita800]

C:\WINDOWS\system32\drivers\328.exe

Файл уже проанализирован:
MD5: f972e4c5212d5aec7131110389e0298b
First received: 2009.03.20 21:32:52 (CET)
Дата: 2009.03.27 19:49:37 (CET) [<1D]
Результаты: 27/39
Permalink: analisis/c6f9c542a4fd334ec74db2b379f41a7c
http://www.virustotal.com/ru/analisis/c6f9...74db2b379f41a7c

C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

http://www.virustotal.com/ru/analisis/4269...d386d89980c905f

и вот еще постоянно эта хрень появляется в папке Windows/Temp
http://www.virustotal.com/ru/analisis/2cf8...de3918b202adb85

[nikita800]

 Logs.rar   428,4К   43 Скачано раз

Вот и снова 3 раза КуреИТ просканировал

[Borka]

C:\WINDOWS\system32\drivers\328.exe

Файл уже проанализирован:
MD5: f972e4c5212d5aec7131110389e0298b
First received: 2009.03.20 21:32:52 (CET)
Дата: 2009.03.27 19:49:37 (CET) [<1D]
Результаты: 27/39
Permalink: analisis/c6f9c542a4fd334ec74db2b379f41a7c
http://www.virustotal.com/ru/analisis/c6f9...74db2b379f41a7c

В Вирлаб его и с диска долой.

C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

http://www.virustotal.com/ru/analisis/4269...d386d89980c905f

Файл sp_rsdrv2.old получен 2009.02.16 14:14:16 (CET)
А более свежий скан?

и вот еще постоянно эта хрень появляется в папке Windows/Temp
http://www.virustotal.com/ru/analisis/2cf8...de3918b202adb85

Тоже в Вирлаб. По логу спайдера - кто дроппает?

[Borka]

Вот и снова 3 раза КуреИТ просканировал

28.03.2009 02:44 32 768 296.exe - сегодняшняя дата, однако.
27.03.2009 20:30 141 312 sp_rsdrv2.sys
24.03.2009 14:10 33 280 328.exe

Почистите темпы - виндовый и пользовательский.

[nikita800]

http://www.virustotal.com/ru/analisis/e0ec...c202347a8493527

http://www.virustotal.com/ru/analisis/251d...c470aecd727fed5

По логу спайдера - кто дроппает?

Это как посмотреть?

28.03.2009 02:44 32 768 296.exe - сегодняшняя дата, однако.

И что это значит?

Пользовательский Темп это где?

[Borka]

По логу спайдера - кто дроппает?

Это как посмотреть?

В spidernt.log