64 ответов в этой теме

[TalleR]

вчера перезагрузился
вылезло окно типа "Ваш комп заражен....Ля..ля..ля..Отошлите смс...И наши спецы починят машину"(Учитесь по смс вири лечить )
диспетчер недоступен был, ниче недоступно было
выловил я это чудо(portmap.exe), удалил из автозагрузки
вылечил диспетчер задач
теперь самое интересное
комп включился
последствия:
не реагирует regedit(пробовал лечить HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System)
др.веб вроде в процессах висит, в трее не отображается
хайджек запустить не удалось
filemon тоже
и че-то много процессов svchost штук 6, и оперативы жрут по 50-80мб (2гб ОП)

 rkulogs.rar   4,86К   207 Скачано раз
 gmerlog.rar   4,47К   140 Скачано раз

надеюсь на вашу помощь

да и еще куреит поймал свхост один, удалил

[userr]

TalleR
нужен лог сканера drweb по правилам

[TalleR]

быстрый или полный?

[userr]

TalleR
по правилам раздела

[TalleR]

сори ступил
вот лог
 drw_results.cab   82,15К   150 Скачано раз

[YVS]

хайджек запустить не удалось

Переименуйте его.

Отошлите в вирлаб эти файлы:
G:\WINDOWS\system32\lowsec
G:\WINDOWS\system32\lowsec\local.ds
G:\WINDOWS\system32\lowsec\user.ds
G:\WINDOWS\system32\lowsec\user.ds.lll
G:\WINDOWS\system32\sdra64.exe

И portmap.exe, если остался...

[TalleR]

файлы отправил архивом
лог хайджека
 hijackthis.rar   3,95К   133 Скачано раз

добавил файл
G:\WINDOWS\system32\userinit.exe

portmap.exe не сохранился =(
drweb.com #898648

[Borka]

вот лог

"Dr.Web Scanner for Windows v5.00.3 (5.00.3.03113)" - почему такой древний?
O4 - HKLM\..\RunOnce: [DrWebScanner] G:\Program Files\DrWeb\drweb32w.exe /full
Вы только что проинсталлили 5.0 и еще ни разу не обновлялись, что ли?

Пофиксите в Хайджеке и проверьте, не появляется запись снова:
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,

Проверьте на ВирусТотале:
C:\Pascl.exe
G:\WINDOWS\System32\appdrvrem01.exe
G:\WINDOWS\system32\GameMon.des.exe
G:\WINDOWS\services.exe
G:\WINDOWS\system32\mmbank.exe
G:\WINDOWS\system32\urlmon.exe

[TalleR]

он не может обновиться, не запускается обновление

pascl.exe эт хайджек =) я так переименовал

[YVS]

G:\WINDOWS\system32\userinit.exe

Этот не должен быть опасным

Пофиксите в хайджеке
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\system32\sdra64.exe,

Проверьте на VirusTotal
G:\WINDOWS\system32\drivers\Dyncal.sys
G:\WINDOWS\system32\Bubbles.scr
G:\WINDOWS\system32\drmupgds.exe

Дополнительно отправьте в вирлаб:
G:\WINDOWS\system32\advapi32t.dll
G:\WINDOWS\system32\mmbank.exe

[TalleR]

фикшу, хайджик опять эту строку выводит
[drweb.com #898665]

Файл mmbank.exe получен 2009.05.29 20:57:32 (UTC)
Результат: 17/40 (42.5%)
http://www.virustotal.com/ru/analisis/0019...8121-1243630652
GameMon.des.exe 8/40
http://www.virustotal.com/ru/analisis/8c03...f435-1243529286
Файл services.exe получен 2009.05.29 20:51:24 (UTC)
Результат: 12/40 (30%)
http://www.virustotal.com/ru/analisis/e013...4fb6-1243630284
Файл urlmon.exe получен 2009.05.29 20:49:43 (UTC)
Результат: 14/38 (36.85%)
http://www.virustotal.com/ru/analisis/4d4b...d608-1243630183
Файл Bubbles.scr получен 2009.05.29 20:55:15 (UTC)
Результат: 1/40 (2.5%)
http://www.virustotal.com/ru/analisis/8cf1...3beb-1243630515
Файл advapi32.dll получен 2009.05.29 20:58:53 (UTC)
Результат: 0/40 (0%)
http://www.virustotal.com/ru/analisis/d574...dbe5-1243630733

[Borka]

фикшу, хайджик опять эту строку выводит

Плохо. Значит, активнй, гад.

mmbank.exe 10/40
http://www.virustotal.com/ru/analisis/0019...8121-1243509649

В вирлаб его: http://vms.drweb.com/sendvirus Номер тикета - сюда.

[TalleR]

drweb.com #898665

там не 10 а 17 нашли =(

[sleb]

там не 10 а 17 нашли =(

Хм, но ДрВеб его тоже нашел, судя по ссылке

[Borka]

там не 10 а 17 нашли =(

Хм, но ДрВеб его тоже нашел, судя по ссылке

Да, но "2009.05.29 20:57:32 (UTC)" - это всего пару часов назад.

[TalleR]

это свежая проверка была! я принудительно по новой проверил

[Borka]

drweb.com #898665
там не 10 а 17 нашли =(

А что говорит ВирусТотал про
G:\WINDOWS\system32\sdra64.exe
?

[TalleR]

Файл sdra64.exe получен 2009.05.29 21:29:43 (UTC)
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583

[Borka]

Файл sdra64.exe получен 2009.05.29 21:29:43 (UTC)
Результат: 16/40 (40%)
http://www.virustotal.com/ru/analisis/e739...486d-1243632583

Есть возможность загрузиться с внешнего носителя (LiveCD, BartPE, WinPE)?

[TalleR]

куча
даже livecd ubuntu есть ;D