Показано с 1 по 18 из 18.

Не знаю,вирус,или нет (заявка № 12012)

  1. #1
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34

    Thumbs up Не знаю,вирус,или нет

    Народ,такая проблема :

    Вчера вечером включил комп,винда норм загрузилась,но появилась некая проблема,а точнее на рабочем столе нормально запускаются все программы\игры т.е. все иконки ведущие прямой ссылкой на экзешник , а вот папки не реагируют на дабл клик,то есть жмешь,комп 5 сек подумает и ничего не открывается.

    Через Выполнить--Обзор можно запустить все программы не с рабочего стола,запустил аваст,кашперовского....проверка не дала наличие вирусов

    Запустил последний успешный запуск из опций при загрузки винды,все стало работать нормально.

    Сегодня о5 включил комп и все по новой,причем посл.успешный запуск уже не помогает...

    Не знал куда писать,модеры плиз не трите.

    Прошу помощи в решении этой проблемы
    ЗЫ только о скачал Hijackthis на рабочий стол,он там не появился,хотя через выполнить--обзор я его прекрасно вижу
    Вложения Вложения
    Последний раз редактировалось sven117; 30.08.2007 в 12:10.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    профиксить для начала:
    Код:
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
    O20 - Winlogon Notify: rpcc - C:\WINXPPRO\
    этот сервис перевести в "Disable"
    Код:
    O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe
    Должно полегчать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от PavelA Посмотреть сообщение
    профиксить для начала:
    Код:
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
    O20 - Winlogon Notify: rpcc - C:\WINXPPRO\
    этот сервис перевести в "Disable"
    Код:
    O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe
    Должно полегчать.

    Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет


    перезагрузился,эффекта нет...
    Последний раз редактировалось sven117; 30.08.2007 в 12:06.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Прежде чем что-то удалять надо нам послать.И почему не выполнили правила ? Перечитать и выполнить точно. не хватает лога avz, базы avz не обновили ;(

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINXPPRO\system32\tmp4.tmp.dll','');
     QuarantineFile('C:\WINXPPRO\system32\config32\updater.dll','');
     QuarantineFile('C:\WINXPPRO\system32\nwiz.exe','');
     QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe /service','');
     QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');
     QuarantineFile('C:\WINXPPRO\system32\ntkrnlpa.exe','');
     QuarantineFile('C:\WINXPPRO\system32\ntdll.dll','');
     QuarantineFile('C:\WINXPPRO\system32\hal.dll','');
     QuarantineFile('C:\WINXPPRO\system32\DRIVERS\CLASSPNP.SYS','');
     QuarantineFile('C:\WINXPPRO\system32\BOOTVID.dll','');
     QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe','');
     QuarantineFile('C:\WINXPPRO\system32\nvshell.dll','');
     QuarantineFile('C:\WINXPPRO\SYSTEM32\mfcat.dll','');
     QuarantineFile('c:\winxppro\system32\qwerty12.exe','');
     QuarantineFile('C:\WINXPPRO\system32\pr2ajewe.exe','');
    BC_ImportQuarantineList;
    BC_Activate; 
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12012

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от sven117 Посмотреть сообщение
    Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет


    перезагрузился,эффекта нет...
    А сервис отрубил?
    Тогда будем ждать логи AVZ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    drongo, сделал
    PavelA, сорри,а как его отрубить?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от sven117 Посмотреть сообщение
    PavelA, сорри,а как его отрубить?
    Старт-Выполнить, написать services.msc + клавиша Ввод. Найти сервис в списке, правым мышем - Свойства...

  10. #9
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    Rene-gad, его там нет
    а все после ребута он сам удалился видимо

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Администрирование - Службы - mfcat - стоп службе и перевести в состояние "Отключено".

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Совсем не плохой урожай

    Trojan.Win32.Agent.aoy (kaspersky)
    Trojan-Downloader.Win32.Small.enq (kaspersky)
    Trojan-Downloader.Win32.ConHook.bd (kaspersky)
    вариантTrojan.Virtumod(dr.Web)



    1)AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
    DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
    DeleteFile('C:\WINXPPRO\system32\qwerty12.exe');
    DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
    DeleteFile('c:\winxppro\system32\qwerty12.exe');
     BC_DeleteSvc('qwerty12.exe');
     BC_DeleteSvc('mfcat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate; 
    RebootWindows(true);
    end.
    2. Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - AppInit_DLLs:  
    O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
    O20 - Winlogon Notify: rpcc - C:\WINXPPRO\
    O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe
    3.Сделать новые логи, как в первом вашем сообщении .
    Последний раз редактировалось drongo; 30.08.2007 в 13:53.

  13. #12
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    Вот данные с последних тестов
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    живучие, наверное что-то ещё живёт.
    1.Пофиксить в HijackThis
    Код:
    O2 - BHO: (no name) - {99ac41d3-7138-45c4-ac69-88abce752581} - C:\WINXPPRO\SYSTEM32\mfcat.dll
    O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINXPPRO\system32\tmp4.tmp.dll
    2.AVZ Файл - Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
     DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
     DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate; 
    RebootWindows(true);
    end.
    E:\autorun.inf- нужно? (можно notepad посмотреть)? если нет, убить.
    N:\HC\HandyCache\Cache\locator.contentsvc.com\site s\errorsafe.com-удалить всю папку с сайтом.
    советую выполнить 2 пункт правил как указано и сделать новые логи.
    Последний раз редактировалось drongo; 30.08.2007 в 14:13.

  15. #14
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    Цитата Сообщение от drongo Посмотреть сообщение
    virusinfo_syscure.zip-вирусы съели?
    я просто когда не видел твое сообщение когда начал добавлять,лучше ща сделаю как ты сказал,потом все добавлю

  16. #15

  17. #16
    Junior Member Репутация
    Регистрация
    30.08.2007
    Сообщений
    7
    Вес репутации
    34
    drongo, огромное тебе человеческое спасибо!

    Все заработало нормально!)

    Если нужно будет пересканировать заново - выложу сканы позже,сейчас по делам надо ехать...

    Большое спасибо всем принимавшим участие в борьбе со злом на моём компе!

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Желательно Вот пару советов :
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....В MyIE то же нет такой опции +те же дырки от эксплорера )
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
    Мы будем Вам очень благодарны!

    П.с.Насчёт спасиб, у нас новая фича на форуме , можешь нажать

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,523
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 43
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\winxppro\\system32\\config32\\updater.dll - Trojan-Downloader.Win32.Small.enq (DrWEB: Trojan.DownLoader.25804)
      2. c:\\winxppro\\system32\\mfcat.dll - Packed.Win32.Klone.k (DrWEB: Trojan.DownLoader.21784)
      3. c:\\winxppro\\system32\\qwerty12.exe - Trojan.Win32.Agent.aoy (DrWEB: Trojan.Virtumod)
      4. c:\\winxppro\\system32\\tmp4.tmp.dll - Trojan.Win32.BHO.de (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) sven117, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 10.04.2012, 14:20
    2. вирус в компе,не знаю как удалить
      От julie..cz.. в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.10.2010, 08:10
    3. Возникла проблема( не знаю вирус или че...
      От Дмитрий1 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2009, 18:47
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 09:43
    5. Не знаю - вирус или нет.
      От ChoNick в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.01.2008, 19:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00344 seconds with 25 queries