В форуме DrWeb создал тему по этому поводу, мне дали советы - что и как делать и рекомендовали затем написать сюда и отправить логи. Советы очень помогли, большое спасибо. Логи прикрепляю.
Повторяю суть проблемы - DrWeb обнаружил вирусы и удалил. Названия их я не запомнил (помнил, что трояны). После удаления обнаружил, что в папке windows/system32 остались подозрительные файлы ng77.bin (0-1 kb) и ksl48.bin (1kb), atiatbxx.sys (8kb) и atiataxx.dll (25kb). Время их создания-изменения совпадает со временем появления вирусов.
Удалить эти 4 файла сначала удалось, но после перезагрузки они появились снова, после чего повторялась такая же ситуация - удалялись (не без труда - компьютер писал, что они заняты процессом), но потом появлялись снова.
В автозагрузке ничего подозрительного не было видно. DrWeb в них вирусов не видел, а при онлайн-проверке не видел и самих файлов вообще (писал "файл не загружен"). То же самое с Касперским. С ЦП, интернет эксплорером и трафиком ничего подозрительного, вроде, не происходило. Единственный заметный "тревожный звонок" - компьютер не выключался и не перегружался через "Пуск", приходилось кнопкой.
Да, еще в windows/temp появилась сомнительная папка TSK16HXAQV с файлами .tmp
DrWeb лицензионный, регулярно обновляемый. Windows нелицензионная, в связи с чем DrWeb постоянно ругается на файл srvany.exe.
Согласно советам, проверил cureit-beta.exe в безопасном режиме - она выявила atiatbxx.sys и atiataxx.dll как вирусы Trojan-Spy.Win32.Banker. Я их сразу удалил (ng77.bin и ksl48.bin тоже), и они больше не появлялись.
АVZ выявила дополнительно такие же трояны в двух файлах tmp и нашла vbsys2.dll - Trojan-Clicker.Win32.Agent
Проверку AVZ и HijackThis выполнил, логи отправляю. Я не уверен, что нужно было удалять файлы-вирусы, но, видимо, немного переволновался.
Посмотрите, пожалуйста, логи и, если дадите советы по дальнейшим действиям, большое спасибо. Если особых действий предпринимать не надо - тоже в любом случае большое спасибо. С компьютером, кажется, все нормально, выгружается и перегружается через "пуск".
С уважением, Дмитрий
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Также нужно обновить систему до SP2 + все критические обновление которые вышли за последние время,иначе вы можете стать частым гостем раздела "Помогите" и Internet Explorer тоже нужно обновить(текущая версия 7)
Последний раз редактировалось Muzzle; 19.07.2007 в 04:00.
Отправил, ответ был такой - "Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXX на существующую тему на форуме"
Ссылку указал вот эту - http://virusinfo.info/showthread.php?&p=123590
Отправил несколько раз, потом подумал, что, может быть, все ушло, просто мелкие неполадки.
Сейчас отправил еще раз с этой же ссылкой.
Видимо, не так ссылку использовали. Просто жмакнуть по ней - откроется форма загрузки с уже заполненной ссылкой на тему, останется только файл выбрать.
Состояние компьютера - как вы и предупреждали - успел поймать еще и трояна rsvp32_2.dll со sporder.dll.
Попробовал вылечить сам, удалил, провел проверку, почистил от rsvp322 реестр - winsock2 во всех контролсетах. Внешне все нормально, все работает, хотя я далеко не уверен.
Логи отправляю, карантин сейчас приложу.
Обновлением до SP2 озадачился, главная проблема в том, что Windows нелицензионная, кряков к SP2 у знакомых пока не нашел. Эксплорер 7-й поставлю.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: