-
Junior Member
- Вес репутации
- 61
Червь или троян...
Ув. друзья,
Помогите плиз решить проблему, к сожалению, не могу сейчас переустановить систему - идет активная работа и мне нужна она именно в данной конфигурации.
Проблема вот в чем - кажется, в компе завелся червяк или троян. Симптомы следующие - если не работаю на компе минут десять, вся система подвисает, ни на что не реагирует, менеджер задач не вызывается, приходится холодный рестарт делать (вилку из розетки). После этого на рабочем столе есть новый файл - "[email protected]" - по адресу одного из моих адресатов, в спецификациях - ms-dos application, вес ок. 4K. Кроме того, фаерфокс выдает таблицу скачивания тут же - будто идет какая-то массированная закачка/скачка опять же с этим именем ([email protected]).
Мне очень важно сохранить систему без переустановки.
(прогнал dr.web - нашел твоян PWS.Capeta - на двух dll файлах, которые я ламерски и по-тупому удалил... не уверен, что именно это и было проблемой. сейчас стараюсь не оставлять комп без работы надолго - много ценных наработок...)
Помогите чем можете....
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи по правилам, тогда поможем.
-
-
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось schlez; 26.09.2007 в 20:11.
-
virusinfo_cure.zip -это карантин уберите его пожалуста .... присоединить нужно virusinfo_syscure.zip ....
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\TEMP\_VWUPSRV.EXE','');
QuarantineFile('System32\Drivers\hkdrv.sys','');
QuarantineFile('\??\C:\WINDOWS\TEMP\mc21.tmp','');
QuarantineFile('C:\WINDOWS\system32\virport.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 61
file + additional info
добавил нужный файл - я не мог его получить до тех пор, пока не пустил прогу под safe mode - иначе вся система падала.
добавляю подробности: после того, как система упала и перегрузилась, я пустил фаерфокс и на запрос "загрузить ли последнюю сессию или открыть новую" ответил - "последнюю сессию, плиз". Вот тут-то все и началось - фаерфокс открыл окно скачивания, на десктопе появился указанный "[email protected]" исполняемый файл и кроме того, началась закачка на мой комп клубничной рассады, причем остановить это удалось лишь холодным рестартом. Повторяю - в последнюю сессию я клубничной рассады не заказывал, а соблюдал обет, данный на этом форуме, т.е. пытался вернуться сюда и догрузить полученный файл. Предполагаю, что мой фаерфокс - сакс.
Я все еще надеюсь на вашу помощь, друзья.
Последний раз редактировалось schlez; 26.09.2007 в 20:11.
-
сделайте такой лог http://virusinfo.info/showthread.php?t=10387
и загрузите карантин после выполнения скрипта ...
-
-
Junior Member
- Вес репутации
- 61
сделать такой лог не удалось -
выплыло окно: "access violation at address 7c91c24e in module ntdll.dll. Write of address 00000300.
что же делать? у кого-нибудь есть вообще предположения, что с компом?
-
-
-
Junior Member
- Вес репутации
- 61
закачал архив карантина...
Файл сохранён как 070925_181032_virus_46f995682ed82.zip
Размер файла 121876
MD5 62c859360e2f8955646d9dbb1dccbd8e
Последний раз редактировалось pig; 26.09.2007 в 03:11.
Причина: Удалил карантин и закачал по правилам
-
Карантин присылать по ссылке вверху темы! Читайте Приложение 3.
-
-
Junior Member
- Вес репутации
- 61
я прислал, как требовалось, но в теме это никак не отражается... поэтому и запостил его через постинг.
.....
-
В теме надо Вам отписать ответ сайта по загрузке карантина.
Кстати, в карантине файлов после выполнения скрипта не оказалось.
Выполните предложенный Вам скрипт и загрузите еще раз карантин.
Ваш зверь - wc98pp.dll, по всей видимости.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
запустить скрипт удалось только в safe_m, иначе- вИсло и падало.
прогнал еще раз.. гружу снова логи и карантин....
мне когда-нибудь удастся починить эту фиговину!?
Файл сохранён как070926_110711_virus_46fa83af90fca.zipРазмер файла168248MD50ecb9249e772e1542a0ec644bdda5371
Последний раз редактировалось schlez; 11.07.2010 в 20:00.
-
c:\WINDOWS\wc98pp.dll - чистый ..
C:\WINDOWS\system32\Drivers\hkdrv.sys - чистый
C:\WINDOWS\system32\virport.dll - чистый
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\6T56Z2LS\UpdateDatFix[1].exe чистый ...
сделайте такой лог http://virusinfo.info/showthread.php?t=10387
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
-