Не знаю,вирус,или нет

[sven117]

Народ,такая проблема :

Вчера вечером включил комп,винда норм загрузилась,но появилась некая проблема,а точнее на рабочем столе нормально запускаются все программы\игры т.е. все иконки ведущие прямой ссылкой на экзешник , а вот папки не реагируют на дабл клик,то есть жмешь,комп 5 сек подумает и ничего не открывается.

Через Выполнить--Обзор можно запустить все программы не с рабочего стола,запустил аваст,кашперовского....проверка не дала наличие вирусов

Запустил последний успешный запуск из опций при загрузки винды,все стало работать нормально.

Сегодня о5 включил комп и все по новой,причем посл.успешный запуск уже не помогает...

Не знал куда писать,модеры плиз не трите.

Прошу помощи в решении этой проблемы
ЗЫ только о скачал Hijackthis на рабочий стол,он там не появился,хотя через выполнить--обзор я его прекрасно вижу

[V_Bond]

выполните правила

[PavelA]

профиксить для начала:

Код:

O20 - AppInit_DLLs:  
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\

этот сервис перевести в "Disable"

Код:

O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe

Должно полегчать.

[sven117]

профиксить для начала:

Код:

O20 - AppInit_DLLs:  
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\

этот сервис перевести в "Disable"

Код:

O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe

Должно полегчать.

Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет


перезагрузился,эффекта нет...

[drongo]

Прежде чем что-то удалять надо нам послать.И почему не выполнили правила ? Перечитать и выполнить точно. не хватает лога avz, базы avz не обновили ;(

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINXPPRO\system32\tmp4.tmp.dll','');
 QuarantineFile('C:\WINXPPRO\system32\config32\updater.dll','');
 QuarantineFile('C:\WINXPPRO\system32\nwiz.exe','');
 QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe /service','');
 QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');
 QuarantineFile('C:\WINXPPRO\system32\ntkrnlpa.exe','');
 QuarantineFile('C:\WINXPPRO\system32\ntdll.dll','');
 QuarantineFile('C:\WINXPPRO\system32\hal.dll','');
 QuarantineFile('C:\WINXPPRO\system32\DRIVERS\CLASSPNP.SYS','');
 QuarantineFile('C:\WINXPPRO\system32\BOOTVID.dll','');
 QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe','');
 QuarantineFile('C:\WINXPPRO\system32\nvshell.dll','');
 QuarantineFile('C:\WINXPPRO\SYSTEM32\mfcat.dll','');
 QuarantineFile('c:\winxppro\system32\qwerty12.exe','');
 QuarantineFile('C:\WINXPPRO\system32\pr2ajewe.exe','');
BC_ImportQuarantineList;
BC_Activate; 
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12012

[PavelA]

Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет


перезагрузился,эффекта нет...

А сервис отрубил?
Тогда будем ждать логи AVZ.

[sven117]

drongo, сделал
PavelA, сорри,а как его отрубить?

[Rene-gad]

PavelA, сорри,а как его отрубить?

Старт-Выполнить, написать services.msc + клавиша Ввод. Найти сервис в списке, правым мышем - Свойства...

[sven117]

Rene-gad, его там нет
а все после ребута он сам удалился видимо

[pig]

Администрирование - Службы - mfcat - стоп службе и перевести в состояние "Отключено".

[drongo]

Совсем не плохой урожай

Trojan.Win32.Agent.aoy (kaspersky)
Trojan-Downloader.Win32.Small.enq (kaspersky)
Trojan-Downloader.Win32.ConHook.bd (kaspersky)
вариантTrojan.Virtumod(dr.Web)


1)AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
DeleteFile('C:\WINXPPRO\system32\qwerty12.exe');
DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
DeleteFile('c:\winxppro\system32\qwerty12.exe');
 BC_DeleteSvc('qwerty12.exe');
 BC_DeleteSvc('mfcat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate; 
RebootWindows(true);
end.

2. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - AppInit_DLLs:  
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\
O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe

3.Сделать новые логи, как в первом вашем сообщении .

[sven117]

Вот данные с последних тестов

[drongo]

живучие, наверное что-то ещё живёт.
1.Пофиксить в HijackThis

Код:

O2 - BHO: (no name) - {99ac41d3-7138-45c4-ac69-88abce752581} - C:\WINXPPRO\SYSTEM32\mfcat.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINXPPRO\system32\tmp4.tmp.dll

2.AVZ Файл - Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
 DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
 DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate; 
RebootWindows(true);
end.

E:\autorun.inf- нужно? (можно notepad посмотреть)? если нет, убить.
N:\HC\HandyCache\Cache\locator.contentsvc.com\site s\errorsafe.com-удалить всю папку с сайтом.
советую выполнить 2 пункт правил как указано и сделать новые логи.

[sven117]

virusinfo_syscure.zip-вирусы съели?

я просто когда не видел твое сообщение когда начал добавлять,лучше ща сделаю как ты сказал,потом все добавлю

[drongo]

Поздно , выполнить то что написал http://virusinfo.info/showpost.php?p...2&postcount=13

[sven117]

drongo, огромное тебе человеческое спасибо!

Все заработало нормально!)

Если нужно будет пересканировать заново - выложу сканы позже,сейчас по делам надо ехать...

Большое спасибо всем принимавшим участие в борьбе со злом на моём компе!

[drongo]

Желательно Вот пару советов :
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....В MyIE то же нет такой опции +те же дырки от эксплорера )
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

П.с.Насчёт спасиб, у нас новая фича на форуме , можешь нажать

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 43
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\winxppro\\system32\\config32\\updater.dll - Trojan-Downloader.Win32.Small.enq (DrWEB: Trojan.DownLoader.25804)
  2. c:\\winxppro\\system32\\mfcat.dll - Packed.Win32.Klone.k (DrWEB: Trojan.DownLoader.21784)
  3. c:\\winxppro\\system32\\qwerty12.exe - Trojan.Win32.Agent.aoy (DrWEB: Trojan.Virtumod)
  4. c:\\winxppro\\system32\\tmp4.tmp.dll - Trojan.Win32.BHO.de (DrWEB: Trojan.Virtumod)