При загрузке компа вылетает окошко Доктора Веба о заражении Trojan.PWS.Lineage (если я не ошибаюсь, так как в логах Веба за сегодняшнее число ни одного трояна почему-то нету), файл предлагается вылечить, окошко появляется опять минут через 20, или при следующей загрузке. Пробовали проверять систему Вебом, и АВЗ с новыми базами, много всяких бякостей удалили, но с этим поделать ничего не можем.
Что посоветуете?
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Содержимое карантина прислать. Если 235780M.BMP не попадёт в карантин - поискать его по всему системному диску.Код:begin QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL',''); QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL',''); QuarantineFile('C:\WINDOWS\System32\update\Update.exe',''); QuarantineFile('C:\WINDOWS\Intel\rundll32.exe',''); QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe',''); QuarantineFile('C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE',''); QuarantineFile('C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE',''); QuarantineFile('C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE',''); QuarantineFile('C:\Documents and Settings\User\Application Data\GetMP3[1].exe t',''); QuarantineFile('235780M.BMP',''); DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL'); DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL'); end.
235780M.BMP в карантин не попал, через поиск его найти тоже не удаётся.
Правда через поиск *235780* удалось найти логи Hijack и AVZ в которых этот файл упоминается. Так же по этому же поиску нашлись 2 файла карантина АВЗ, я их на всякий случай пришлю, может файл туда все-таки попал
И вообще впечатление что из всего скрипта выполнились только 2 последние строчки...
Последний раз редактировалось ScratchyClaws; 11.12.2006 в 15:29.
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Ну нет так нет. А другие файлы попали в карантин?Сообщение от CePguTKa
ИМХО нет,
собственно загружаю всё что авз показал при просмотре карантина -
Результат загрузки
Файл сохранён как 061211_080243_virus_457d56f348d2b.zip
Размер файла 11927
MD5 95e4f461c8e90132d6f90a1cdb4d282d
Могу ещё файлы АВЗ из папок Infected и Quarantine послать, так как при ближайшем рассмотрении там явно больше файлов...
P.S. - пока проблема с предупреждением о вирусе остается. Заодно записала точное сообщение -
c://windows/system32/dllt.dll заражён Trojan.PWS.Lineage
P.P.S. - ушла танцевать с шаманским бубном
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Эта папка если есть, удалить C:\Program Files\MyWebSearch
Эти файлы еще поискать вручную
C:\WINDOWS\System32\update\Update.exe
C:\WINDOWS\Intel\rundll32.exe
АВЗ начал искать, но тут выступил DR Web с сообщением что он нашел вирус, доктора закрыли, а вот файлов на месте уже не оказалось.
Собственно в папке update лежат exe'шники 5, 6, 7
а папки Intel в папке Windows нету
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Пофиксено?
Код:O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cabНовые логи после танцев...P.P.S. - ушла танцевать с шаманским бубном
Пофиксено.
Веб переставлять пока не стала... скачала CureIt! проверяю... уже прибил C://windows/intel/rundll32.exe (которую вчера не удалось найти)
Сейчас проверку закончу - скину новые логи
11:18 - CureIt! систему проверил... Энное количество заразы прибил... Пока прикладываю его отчет. Остальные логи в обеденный перерыв сделаю - так как условия полевые - за компом девушка работает... -
P.S. - Да!!! Я плохая!!! Но файлы отчета Веба в сообщение не вкладываются...rundll32.exe c:\windows\intel Trojan.PWS.Lineage Удален.
A0092410.sys C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP706 Trojan.Duxtel Удален.
A0093410.sys C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP706 Trojan.Duxtel Удален.
A0093412.dll C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP712 Trojan.PWS.Lineage Удален.
A0093464.dll C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP712 Trojan.PWS.Lineage Удален.
A0093575.exe C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP715 Trojan.PWS.Lineage Удален.
8.exe C:\WINDOWS\SYSTEM32 Trojan.DownLoader.15686 Удален.
CelInDriver.sys C:\WINDOWS\SYSTEM32\DRIVERS Trojan.Duxtel Удален.
6.exe C:\WINDOWS\SYSTEM32\update Trojan.PWS.Wow Удален.
7.exe C:\WINDOWS\SYSTEM32\update Trojan.Duxtel Удален.
P.P.S. - Сообщения о трояне выскакивают как и раньше...
Последний раз редактировалось ScratchyClaws; 12.12.2006 в 16:12. Причина: update
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
Уважаемый(ая) ScratchyClaws, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
