Проблемы с firefox, autocad. Кажется вирус.

[hnori]

Здравствуйте! Суть проблемы: при запуске firefox'a он зависает, точнее в процессах начинает появляться огромное количество процессов werfault.exe, после чего компьютер зависает. Также, при запуске autocad 2010 тоже зависает, правда только сама программа, а не комп. Переустановка firefox не привела ни к чему. Переустановил autocad, вроде проблема исчезла. Однако при последующей перезагрузке все вернулось на круги своя( Помогите пожалуйста.

[Info_bot]

Уважаемый(ая) hnori, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[ARMA9000]

Профиксит:

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\explorer.exe','');
 QuarantineFile('C:\Windows\System32\drivers\sw_sbus.sys','');
 QuarantineFile('C:\Users\Iurii\zddbtphd.exe','');
 DeleteFile('C:\Users\Iurii\zddbtphd.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSCV');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','MSCV');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSCV');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин прислать согласно правилам. БАЗЫ АВЗ обновить и переделать логи.

[hnori]

Все сделал. Карантин получен? Еще 1 дополнение: при загрузке НОД выдает сообщение о следующих угрозах:
03.11.2011 14:55:32 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » dwm.exe(1700) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна ALEX\Iurii
03.11.2011 14:25:22 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » taskhost.exe(1856) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна ALEX\Iurii
03.11.2011 14:12:21 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » wininit.exe(46 модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна

[ARMA9000]

Файл taskhost.exe находится в c:\windows\system32\?

Отправьте пару этих файлов(на которые ругается антивирус) в вирлаб Eset с пометкой ложное срабатывание.
Ответ сообщите.

[hnori]

я наверное не могу рассчитывать на это... у меня нет лицензии

[thyrex]

Сделайте лог полного сканирования МВАМ

[hnori]

сделал

[ARMA9000]

Удалите в MBAM все, кроме:

Код:

d:\Driver\eset nod32 antivirus & smart security 4.2.64 ru\!KEY +\eset antivirus license finder (minodlogin) 3.9.0.1.exe (Riskware.KG) -> No action taken.
d:\Soft\avs video converter\Patch.exe (RiskWare.Tool.CK) -> No action taken.
d:\Soft\pcboost 4.11.1.2010\patch+keygen lz0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\Soft\pcboost 4.11.1.2010\patch+keygen lz0\Patch.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\Soft\pcboost 4.11.1.2010\Setup\patch+keygen lz0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\Soft\pcboost 4.11.1.2010\Setup\patch+keygen lz0\Patch.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\Soft\Winamp\dfx_audio_enhancer_9.013_winamp\dfx audio enhancer 9.013 winamp\Cure\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
d:\Soft\eset nod32 antivirus & smart security 4.2.64 ru\!KEY +\eset antivirus license finder (minodlogin) 3.9.0.1.exe (Riskware.KG) -> No action taken.
d:\Игры\battlefield - bad company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> No action taken.

Установите SP1 + все обновления.
Установите Internet Explorer 9.

[hnori]

Установил. Проблема с firefox вроде бы решилась, пока все хорошо. Кстати, НОД при загрузке также перестал находить файлы, о которых я выше писал. Но с AutoCad проблема осталась... Может тут уже не в вирусах дело? После переустановки -первый раз запускается и работает без проблем. Стоит закрыть программу и тут же открыть - зависает при попытке открыть какой-нибудь чертеж...

[миднайт]

Посмотрите тут по автокаду
http://forum.dwg.ru/showthread.php?p=821200
http://forum.ugoo.ru/thread-366.html

[hnori]

уф, решил все-таки проблему. может кому-то пригодиться: http://forum.dwg.ru/showthread.php?t=72654 , все дело было в ветке реестра, отвечающей за размеры диалоговых окон. Поэтому при попытке "Открыть" какой-либо файл он зависал.
Всем спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\iurii\\zddbtphd.exe - Trojan-Downloader.Win32.Injecter.hid ( DrWEB: Trojan.DownLoader5.10227, BitDefender: Trojan.Generic.6808840, AVAST4: Win32:Malware-gen )