Junior Member
Вес репутации
61
WinAvXX.exe дубль 2
Нашёл сходную тему, но в моём случае ситация позапущенней. Вот только что появился ещё один раздражающий эффект - каждые полминуты страница становиться неактивной и если печатать в это время то и не заметишь, что буквы на странице не появляються...
вместо winavxx.exe u printer.exe появляються winter.exe proper.exe итд. + иногда бешенно летит входящий траффик, когда ничего не закачиваеться.
пс: заранее спасибо!
edit: прошу прощения за нубство, не получаеться прикрепить логи, прикреплял при создании темы и при попытке редактировния, не даёт...
Последний раз редактировалось Elessar; 06.11.2007 в 16:17 .
Причина: логи
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
61
в статистике вложений они отображались как загруженные и при повторном действии выдавалась ошибка загрузки
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\proper.exe','');
QuarantineFile('C:\WINDOWS\system32\winter.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe','');
QuarantineFile('C:\WINDOWS\xlavba8.exe','');
QuarantineFile('C:\WINDOWS\wesre.exe ','');
QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
ClearHostsFile;
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
61
Trojan-Downloader.Win32.Wixud.i c:\windows\xlavba8.exe
Trojan-Spy.Win32.Keyloger.rp C:\WINDOWS\wesre.exe
Backdoor.Win32.Small.cls C:\WINDOWS\system32\bronto.dll
Trojan.Win32.Qhost.ue C:\WINDOWS\system32\proper.exe
Trojan.Win32.Qhost.ue C:\WINDOWS\system32\winter.exe
not-a-virus:Hoax.Win32.Renos.lq -C:\WINDOWS\system32\sulimo.dat
выполните скрипт ..
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\proper.exe');
DeleteFile('C:\WINDOWS\system32\winter.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autos.exe');
DeleteFile('C:\WINDOWS\xlavba8.exe');
DeleteFile('C:\WINDOWS\wesre.exe ');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи...
Junior Member
Вес репутации
61
вот новые логи
кстати, после перезагрузки домашняя страница каждый раз изменяеться на гугел.ком
Вложения
Сначала пофиксьте в HiJackThis:
Код:
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Затем, не перегружаясь, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\bronto.dll','');
QuarantineFile('C:\WINDOWS\system32\proper.exe','');
QuarantineFile('C:\WINDOWS\system32\winter.exe','');
QuarantineFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe','');
DeleteFile('C:\Documents and Settings\A-Bode\Главное меню\Программы\Автозагрузка\infos.exe');
DeleteFile('C:\WINDOWS\system32\winter.exe');
DeleteFile('C:\WINDOWS\system32\proper.exe');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Затем повторите лог...
Junior Member
Вес репутации
61
Вложения
практически чисто ..... осталось прибрать мусор ...
выполните скрипт ...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('D27987B8-7244-4DE0-AE10-39B826B492F1');
DeleteFile('C:\WINDOWS\system32\bronto.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите лог HijackThis
Junior Member
Вес репутации
61
выполнил
прикрепляю новый лог Hijack + логи avz, так как проблема осталась и даже переросла в более неприятную форму
Вложения
выполните скрипт ...
Код:
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
...
отключите Восстановление системы ....
не вижу никаких проблем ...
Junior Member
Вес репутации
61
отключение системы как и описывалось в подобной теме, невозможно (по крайней мере известными мне способами, мб через реестр можно)
скрипт ... сначала выполните ...
Junior Member
Вес репутации
61
уже -)
Добавлено через 1 минуту
при поверхностном осмотре все негативные эффекты исчезли
Огромное вам Спасибо! дайте ссылку, где поставить пару жирных плюсиков вам в рейтинг =)))
Последний раз редактировалось Elessar; 06.11.2007 в 22:18 .
Причина: Добавлено
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
61
отправил надеюсь, помог
хотя несколько раз во время скрипта выдавал:
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Добавлено через 3 минуты
хотелось бы также проконсультироваться, как сделать чтобы не загружались при включении в диспетчере такие процессы как spoolsv.exe wdfmgr.exe и NVSVC32.exe, ибо считаю их малозначительными (поправьте, если не прав)
Последний раз редактировалось Elessar; 06.11.2007 в 22:40 .
Причина: Добавлено
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 22 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autos.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365) c:\\windows\\system32\\bronto.dll - Backdoor.Win32.Small.cls (DrWEB: Trojan.QuerySpy) c:\\windows\\system32\\proper.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365) c:\\windows\\system32\\sulimo.dat - Hoax.Win32.Renos.lq (DrWEB: Trojan.Fakealert.357) c:\\windows\\system32\\winter.exe - Trojan.Win32.Qhost.ue (DrWEB: Trojan.Fakealert.365) c:\\windows\\wesre.exe - Trojan-Spy.Win32.KeyLogger.rp (DrWEB: BackDoor.Bulknet) c:\\windows\\xlavba8.exe - Trojan-Downloader.Win32.Wixud.i (DrWEB: Trojan.LowZones.695)