143 ответов в этой теме

[mrbelyash]

Ответ по тикету #2248739:

Угроза: BackDoor.Siggen.28506


Хм, интересно, а когда обновилось, так как днем файл Др.вебом не ловился в принципе.

Кто-нибудь что-нибудь еще посоветует? ;(

даже если обновление к вам еще не приехало..файлы можно проверить здесь


http://vms.drweb.com/online/?lng=ru

сюда приезжает сразу же

[Шелл]

так я вроде там и проверял. Ответ по тикету пришел именно оттуда.

[mrbelyash]

так я вроде там и проверял. Ответ по тикету пришел именно оттуда.

это онлайн сканер..он тикеты не рассылает

[Шелл]

Вирус, как вирус Доктор уже ловит. Последние обновления помогли.
Но проблема не там, и пока это не отменяет факта, что откуда-то запускаются остальные вирусняки для размножения - в темпах, в сис32.

Кстати, АВЗ дал вот такую интересую строку:

>> Обнаружен набор команд, запускаемых при старте cmd.exe

Как бы исправить этот набор команд, тогда бы я батник для нормального лога смог бы запустить.

Сообщение было изменено Шелл: 30 Март 2011 - 19:54

[mrbelyash]

Иногда Иван Васильевич мне кажется что Вы бредите(с)

Как-то странно вы составляете фразы...что фиг поймешь что хотите

[Шелл]

Прошу прощения. Голова сегодня плохо варит.

Итак, для тех, кто не читал начало:

При запуске исполнительного drweb-scan.bat открывается окно cmd и тут же закрывается. Если выполнить команду cmd из опции run Windows, то окошко так же открывается и тут же закрывается.
Локализировать, почему это происходит, у меня не получилось.

После проверки AVZ, я получил сообщение среди прочего лога:

>> Обнаружен набор команд, запускаемых при старте cmd.exe

Из чего я сделал вывод, что поведение cmd (окрылся-закрылся) напрямую зависит проблемы, которую обнаружил AVZ.
И далее следует вопрос: где бы мне посмотреть и чтобы мне сделать, чтобы убрать посторонние комманды, исполняемые при запуске cmd, чтобы провести нормальное сканирование при помощи Др.Веба, по тем правилам, как указано в "Правилах раздела".

Это первая часть.
Вторая часть, про которую мы с вами непосредственно говорили. Файлы программы QQ, про которые я говорил выше, после последнего обновления Др. Веба, начали определяться как вирусы, и, как следствие, удаляться. Но основная проблема состоит не в ней, так как ситуация описанная мною в первом посте продолжает оставаться без изменений.

PS На всякий случай присоединяю отчет AVZ.

Прикрепленные файлы:

•  avz_log.txt   46,14К   27 Скачано раз

Сообщение было изменено Шелл: 30 Март 2011 - 20:21

[maxic]

У нас не используется AVZ.

[Шелл]

У нас не используется AVZ.

Хорошо, больше не буду

[pig]

Я всё-таки относительно AVZ вякну. Раз она это обнаружила, она и пофиксить может. Через мастер поиска и устранения проблем.

Только сначала сделайте лог DwSysinfo и выложите сюда. Авось, увидим, что за набор команд такой.

[Шелл]

прилеплено к первому посту.

[Aleksandra]

Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки.

Эта проблема еще присутствует?

[Шелл]

Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки.

Эта проблема еще присутствует?

После последнего обновления Др.Веба, Trojan.alipop.3 удаляется до того, как успевает записать в МБР. Но информацию, что он пытается туда пробиться получаю систематически.
Так что, наверное, проблема частично решена.

--

При помощи AVZ восстановил CMD, так что через несколько минут выложу нормальный лог Др. Веба, сделанный по рпавилам раздела.

[Шелл]

Лог Др.Веба, сделанный по всем правилам форума.

Прикрепленные файлы:

•  drw_results.cab   421,06К   6 Скачано раз

[v.martyanov]

Ага, понятно... Нужно смотреть, откуда запускается cmd, там батник для FTP...

[Шелл]

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.

Сообщение было изменено Шелл: 31 Март 2011 - 11:03

[v.martyanov]

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.

Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.

[Шелл]

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.

Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.

Вопрос, подкупающий своей оригинальностью: как это правильно сделать?

[v.martyanov]

Готов смотреть, что делат дальше?

Да кстати, Файрволл никакое незарегистрированное подключение не ловит. Но вирус все равно множится, как только подключаешь сеть.

Думаю, это потому, что штатный FTP-клиент может быть в доверенных... Пойду у разработчиков спрошу... Можно поискать по bat и cmd-файлам строку "ca.com" без кавычек.

Вопрос, подкупающий своей оригинальностью: как это правильно сделать?

FAR'ом например. И запретите пока в FW работу приложения FTP.EXE, он там в доверенных стоял.

[Шелл]

у меня тотал коммандер, подойдет?
Как правильно завдать строку поиска?
Хорошо, попробую запретить.

[Borka]

у меня тотал коммандер, подойдет?
Как правильно завдать строку поиска?

В Тотале - не знаю, в ФАРе скажу. Запускаете ФАР, становитесь на диск C:, нажимаете Alt-F7, вводите в маски *.bat и *.cmd, в "Содержащих текст" - ca.com и нажимаете "Искать". В Тотале аналогично, наверное.