комплексная проблема DRSB.exe и camoc.dll
 

Суть: нод находит руткит поднуху - вирусы DRSB.exe и camoc.dll которые нельзя удалить. При соединении с интернетом проблема возникает с svhost.exe так как антивирус сообщает, что он заражен вирусами... ну и сразу после подключения к интернету появляються куча других вирусов... вчасности собщение от НОД "LOCALS~1\Temp\BN21B.tmp (и тут же BN21C, BN241...) The file was moved to quarantine. You may close this window."

Вот такая вот неприятность... Есть возможность это исправить?

Выполните пожалуйста Правила обращения за помощью

Да я и без этого уже сам вручную все сделал... есть логи, удалил себе svhost, терь инета нет... точней он есть, но не через свой Пк, а через локальную сеть. Ну и вирусы DRSB.exe и camoc.dll такими и остались - неудаляемыми...

Результат самолечения. А вы чего ожидали? Выкладывайте новые логи

kit10, Здравствуйте.
Если вы не выложите логи, то дальнейшее обсуждение вашей проблемы будет невозможно и тема будет закрыта.
Так как после зловредов осталось много следов и вредных последствий.
Исправить можно изучив логи.

Такс, вот логи...

о, отлично, они и так видны уже...

kit10, пофиксите в HijackThis:
Выполните скрипт в AVZ:
После выполнения скрипта компьютер автоматически перезагрузится, файл quarantine.zip из папки с AVZ отправьте на koshkin@rbcmail.ru - тему письма укажите "Вирус Christmas.exe".

Предыдущая рекомендация не совсем полна, поэтому дополню.
Отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Поэтому создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Запустите AVZ. В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", перезагрузите компьютер. Сделайте новые логи.

Котяра, в ПМ отписал.

спс, попробую, и отпишу

еще 1, у меня локальная сеть, поэтому стоит общий доступ к файлам и принтерам... тоисть на 2 пк я не смогу не заходить в инет, не обмениваться с 1 пк данными... это необходимо?

kit10, можете не отключать в брандмауэре общий доступ, но тогда установите обновления
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
Затем, после лечения, рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

И ещё, перед формированием новых логов можете проверить систему с помощью МВАМ
Скачайте Malwarebytes Anti-Malware здесь,здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

kit10, отправили мне quarantine.zip?

Я тут подумал, могу ли я уточнять в темах о лечении о тех моментах, что мне непонятны? Ничего не советуя автору ни вредного, ни полезного.
Котяра, Pili, Почему вы решили что этот объект вредоносен? И как вы их определяете? На глаз?

Drongo, насчет первого:
* svchost там быть не должен!
* svhost написано с опечаткой!
Второе - в моем скрипте этого вроде нет.
В моем скрипте есть карантин 2 безвредных по видимости файлов - это просто, на всякий случай, я первый раз такие встречаю... Но команды их удаления нет.

сек, я пока еще в процесе... но тех вредоносных файлов уже вроди как нет, сейчас буду логи делать, и отошлю

эм, у меня опера, но в АТФклинере нет опции почистить оперу (если я правильно понял). И есть еще 1 вещь - с языком в некоторых прогах (вчасности Avz вместо текста - иероглифы, в даунлоад мастере тоже... были проблемы вроди как с панелью языков, и как последствие - вот такая мелкая неприятность... может тоже связано с атакой вирусов)

Насчет я не понял, в drivers его не должно быть, карантин ещё не пришел, но это свежий зловред, Worm.LooksLike.Rbot по Mcaffe
По C:\Program Files\DAEMON Tools SearchBar\Search.exe - это Win32.Adware.WhenU.SaveNow

Есть,

Drongo, ну и кроме того svchost.exe не д.б. в автозагрузке, секция 04 HJT

Цитата:

Цитата Pili я не понял, в drivers его не должно быть »

Да это основной признак - я про него написал, но опечатка - еще один косвенный признак - ну нет в Windows ни какого svhost.

Тоже верный признак.

хм, нет настроек оперы... начиная от Windows Temp до опции Select all. И все... делаю логи

Карантины отправил, новые логи выложыл

Вот результаты проверки drivers\svchost.exe (он же avz00003.dta):
http://www.virustotal.com/analisis/f...3da4de4b1bf572

Кстати, в полученном мною quarantine.zip присутствуют три *.dta файла и три *.ini, а еще bcqr0000x.ini много. Но самих sys, exe, dll нет. Почему? :)

Мало понял из последнего поста =)))

kit10, Вам и не надо понимать :)
А ссылка - это определение вируса.
http://www.threatexpert.com/report.a...0081282a357575
- это действия вируса.

Котяра, на VT файл ещё раньше проверил по md5 (см. лог xml)
По ЛК
Лишние файлы попали в карантин по подозрению эвристического анализа.

kit10, Adobe Acrobat обновите, лог МВАМ ещё выложите.
82.207.66.241 82.207.66.242 - ваши DNS адреса?
Что с проблемами, как себя чувствует компьютер?

Что из этого не нужно?

Мало что понял из этого =(
кажеться нет, у меня только 1 в локальной сети, и этот айпи к нему не относиться, или... тоже не очень понятно что это и к чему оно относиться.
Кажеться на все 100, вроди нормально. Только (не знаю, с вирусами это было связано, или еще с чем) при нажатии выключения пк он бывает вместо выключения перезагружаеться, и небольшая проблема с языками в некоторых програмах (таких как даунлоад мастер или АВЗ - например после завершения скрипта вместо я так думаю "ок" появляються иероглифы, также как и с сообщениями)

Думаю это не надо

это вроди от локальной сети

Adobe Acrobat Reader по логу МВАМ см. пост 12.
Насчет DNS выясните у провайдера или администратора ЛВС, если не ваши, пофиксите в HJT
C:\Documents and Settings\kit10\Главное меню\Программы\Автозагрузка\Ukrtelecom 2.lnk - сами ставили в автозагрузку?
По поводу иероглифов Отображение кириллицы в программах, файлах, каталогах
По перезагрузке Windows XP restarts unexpectedly or restarts when you shut down the computer и посмотрите настройки BIOS (как вариант сбросьте на default)
По поводу отключения служб почитайте url=http://www.oszone.net/2517/]службы[/url] и книгу Безопасный Интернет. Универсальная защита для Windows ME - Vista и определитесь что вам не требуется.
Рекомендую отключитьОтключить можно скриптом AVZ

Да, спасибо за ссылки

Сейчас попробую с биосом разобраться...

kit10, проблемы с биосом (power managment), это не вирусная проблема, логи МВАМ сделайте.

Такс, починил комп (полетел изза блока питания) и обнаружил в процесах остатки svchost - как я понимаю это вирус?

Смотря откуда идет запуск этого процесса. Если из system32, тогда все нормально

так там по названиям - svhost & svChost, или не так? Ато уже всего боюсь =)

Такой - svhost - точно есть? Ничего не путаете? Тогда повторные логи AVZ

ага, то я не туда посмотрел... ложная тревога. Кстати, а есть нормальный файервол, чтоб не блокировал локальную сеть, и при этом защищал нормально?

С файрволлами сторонними не работал, хватает самого KIS. Но думаю, что в настройках файрволла должно быть что-то в настройках, чтобы локалка не блокировалась

В этом вся проблема. Файервол или блокирует локальную сеть, или вызывает ошибку Generic Host Process

kit10, FAQ | Firewalls (AKA Файеры, брандмауэры, МЭ или ПСЭ) - ТОЛЬКО ОБЩИЕ вопросы

такс, а что делать с биосом? сделал так, чтоб вместо перезагрузки выписывало причину, а как теперь посмотреть логи, или самому записать в чем причина ( по поводу перезагрузки пк вместо его выключения)

Смотря что хотите от него добиться. Материнские платы + память
Устранение критических ошибок Windows