Korolyov7 Опубликовано 15 марта, 2009 Жалоба Поделиться Опубликовано 15 марта, 2009 log.txtinfo.txtvirusinfo_syscure.zipvirusinfo_syscheck.zipДобрый день! С таким вирусом столкнулся впервые. Avast его определил как одну из разновидностей SDBot. Вроде удалил, но постоянно возникают проблемы. Скорее всего, вирус ещё действует, хотя Avast и другие антивиры его больше не видят. Проявляется он периодически. Отключаются все права администатора, нельзя запускать программы. Лечится перезагрузкой компьютера. Помогите, кому не сложно. Очень не хочется форматировать диск. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 марта, 2009 Жалоба Поделиться Опубликовано 16 марта, 2009 Korolyov7: Скорее всего у вас просто конфликтует защитное ПО (Avast, Lavasoft Ad-Aware, Outpost Firewall), попробуйтr удалить outpost, включить брандмауэр windows и проверить наличие проблемы. Avast его определил как одну из разновидностей SDBot. В каком файле нашел? Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь и здесь Ссылка на комментарий Поделиться на другие сайты Поделиться
Korolyov7 Опубликовано 16 марта, 2009 Автор Жалоба Поделиться Опубликовано 16 марта, 2009 Эта связка антивирусного ПО уже работает несколько лет, до последнего времени всё было нормально. Avast SDBot обнаружил в файлах с именами что-то типа А24543.EXE. Файлы из реестра, штук 6. Вес каждого файла около 280Mb. Report.txt Report.txt Report.txt Report.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 16 марта, 2009 Жалоба Поделиться Опубликовано 16 марта, 2009 Korolyov7: sdfix ничего не нашел, по остальным логам тоже ничего плохого, антивирус обнаруживает файлы во временных папках типа %userprofile%\Local Settings\Temporary Internet Files\Content.IE5? Вес каждого файла около 280Mb Скорее всего это ложное срабатывание, зловреды не могут столько весить. С помощью cureit и AVPTool проверялись? После деинсталяции outpost и Lavasoft Ad-Aware проблема с правами администратора наблюдается? Ссылка на комментарий Поделиться на другие сайты Поделиться
Korolyov7 Опубликовано 16 марта, 2009 Автор Жалоба Поделиться Опубликовано 16 марта, 2009 Pili, спасибо, что посмотрел. Теперь хотя бы уверен, что это не вирус. Где конкретно Avast обнаружил вирус не знаю (точно не во временных файлах, точнее уже не помню), сразу занялся удалением. Avast сам удалить его не смог, какую-то ошибку выдал. Кое-как вручную удалил. При перезагрузке отрубились права администратора. Выключил, опять включил, вроде нормально. Через какое-то время после включения опять права отрубились. Пришлось поиском смотреть, что это за вирус такой. Нашел сcылки на SDfix. Поставил, запустил. Логи не смотрел. После этого все повторяется с периодичностью раз в день. Только сегодня пока всё нормально. Я так думаю, из-за некорректного удаления вируса мог произойти какой-нибудь сбой в системе, от этого теперь винда и глючит. Затем по очереди поставил несколько антивирусов, Drweb, Panda, антитроянские проги и т.д.. Но они ничего существенного не нашли. Наверное, и правда, стоит деинсталлировать все антивирусное ПО и заново поставить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 17 марта, 2009 Жалоба Поделиться Опубликовано 17 марта, 2009 После деинсталяции outpost и Lavasoft Ad-Aware проблема с правами администратора наблюдается? Ссылка на комментарий Поделиться на другие сайты Поделиться
Korolyov7 Опубликовано 17 марта, 2009 Автор Жалоба Поделиться Опубликовано 17 марта, 2009 Уже реже, но проблема остается. Сейчас нашел одну интересную программу. Вот что она обнаружила: Spyware Details Name: backdoor.prorat.16 Type: File Level: HIGH RISK Location: c:\windows\system32\route.exe Description: Backdoor.Prorat.16 Is a Backdoor Trojan horse that gives an attacker full control over your computer.It Opens a port on the system.It's Is written in Delphi and packed with UPX. Advice: CyberDefender earlySPY recommends you remove this risk item. If this is not a risk item for you, select it and click Allow Selected Items button to keep it. It will not be detected again. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 17 марта, 2009 Жалоба Поделиться Опубликовано 17 марта, 2009 Очень странно, c:\windows\system32\route.exe - д.б. легитимным файлом TCP/IP Route Command от Microsoft Corporation, скорее вего это фолс антивируса, которым вы проверялись. С помощью CureIT, AVPTool проверяли систему? Можем ещё провериться. Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Отключите антивирус и установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению. Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Korolyov7 Опубликовано 19 марта, 2009 Автор Жалоба Поделиться Опубликовано 19 марта, 2009 Да, файл route.exe к вирусам не имеет никакого отношения. Похоже, что все проблемы с вирусами решены, сбоев больше нет. Но остались некоторые последствия. Когда открываю какую-нибудь ссылку в избранном, или просто ссылку в интернете, страница может отобразиться не с первого раза, а со второго-пятого. При этом открывается новое окно "Internet Explorer не может отобразить эту веб-страницу", а в строке состояния что-то пишется про Ieframe DNS errror. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти