У меня возникла проблемка!
Подключил к новому компу старый хард на него тут же залетел вирис, у меня стоят 2 антивируса NOD32 b NAV! оба антивируса пишут что вирус сидит в c:\\windows\temp папке! смотрю туда там сидит файл tmp36.tmp, только цифры в этом файле меняются каждую секунду..... я с дуру вообще удалил папку TEMP, теперь папки воббще нету а антивирусы все равно пишут что в ней вирус.... я полазил по инету у всех этот вирус проявляет себя по свойму...
помогите его победить, а то мои антивирусы верещат о том что комп заражен, а сделать нечего не могут...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
извините что вчера не сделал логи и без них отписался...
значит так, еще раз попорядку!
антивирусы говорят что в папке TEMP сидит одноименный вирус W32.Rontokbro@mm или win32/brontok!
Потом, они оба пишут, что зараженный файл удален и тут же выскакивает окно, что появился новый вирус, но с немного измененным названием!
я залез в папку TEMP, зажал F5, этот файл меняет название каждую секунду по нарастающей от tmpAB.tmp до какокого-нибудь tmp99BW.tmp использую все буквы и цифры! думаю что он себя переписывает так как NAV автоматически удаляет этот файл.
я удалил папку TEMP воощше, но это не помогло, изменилось только то что теперь я ее не вижу, но комп пишет что она все еще есть!
сделал по вашему описанию правил все как написанно!
Dr.WEB нашел несколько вирусов с одинаковым названием Win32HLLM.Generic.400 (на сколько понимаю это тот же вирус), по ондному в карантине каждого антивируса и 6 в папке TEMP.
еще такая штука в процезах появился такая штука как taskmgr.exe по смотрел в инете пишет что это как раз этот червь и есть, если попробовать завершить этот процес, то диспетчер сам закрывается, а когда вызываешь его сново, то этот процес уже запущен снова!
если отключить антивирусы то все работает все вроде путем, но если их включить се начинает ужасно лагать...а комп нужен позарез у меня на нем курсовая которую нужно сдать в течении 4 дней, а там еще работать и работь....
буду ужасно благодарен за любую помощь!
система у меня WIN XP
антивирусы NOD32 и Norton AntiVirus 2004
Последний раз редактировалось padlio; 07.05.2008 в 16:12.
1. В логах криминала не обнаружено
2. 2 Антивируса - это через чур. Зачастую они видят вирус в соседствующем антивирусе.
3. Папок ТЕМП в Виндовс много . Очистите их все: http://virusinfo.info/showthread.php?t=10025
сделал что вы сказали!
судя по антивирусу он в директории c:\\windows\temp хотя я ее вообще не вижу.
посоветуйте плз, какой из антивирусов оставить, или поставить какой-то другой.
предложенная вами процедура не помогла...(
этот червь никуда не делся...(
еще такая интересная вещь, что видят они червя только когда включен NAV, если же его отключить, то NOD32 ничего не находит...
посоветуйте пожалуста еще какой-нибудь метод или заплатку! я готов пойти почти на любые меры!
Последний раз редактировалось padlio; 07.05.2008 в 21:12.
Кто "они"?
Вы меня наверное недопоняли (или я - Вас) : Вы должны не пользоваться антивирусами вперемежку, а один из них полностью удалить , оставшимся проверить ПК в безопасном режиме.
сделал как вы сказали! удалил NOD32...
как только запускается комп сразу высвечивается предупреждение от NAV что в выше упомянутой папке TEMP сидит этот файл и что он был успешно удален,нажимаю ОК тут же вылетает окно с тем же самым уведомлением только у файла другой номер! и так можно жать ОК до бесконечности....(
таже самая история.. как только включил нортона, он сразу увидил червя...
Логи завидно чисты
Давайте на этот файл посмотрим
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Владелец\Главное меню\Программы\Автозагрузка\r6.cmd','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После ребута закачайте карантин по правилам.
Если Вам этот файл лично известен, то можете скрипт не выполнять, просто отпишитесь тут.
И еще вопрос: Эта петрушка началсь после установки СП3 или еще до того?
Этот файл мне известен, ито маршрутизатор в моей локальной сети...
Эта пертушка начилась, после того как я на новый ПК решил подсоединить хард от староко ПК, чтоб перелить информацию...
У меня началась полная ахинея, NAV перестал автоматически как раньше находить вирус и теперь молчит, зато теперь в процессах прописался WINWORD.EXE который жрет 24 400 кб памяти, и когда я работаю в текстовых редакторах, общается со мной.... правдва пишет всякую чушь типа "зря я вчера сморкалась" или "праздники кончились"...
Я вообще в шоке!
Добавлено через 8 минут
ещ такая штука! у меня начал трафик в инете сам по себе жратся, даже когда ничего не делаю....
Последний раз редактировалось padlio; 08.05.2008 в 14:49.
Причина: Добавлено
полная паранойя: Сделайте АВЗ-лог syscheck (стандартный скрипт 2) с запущенным Вордом. М.б. АВЗ там сточку типа testtesttest... напишет - это нормально, не пугайтесь Лог закачайте.
все сделал, как вы и сказали в ворде написало много раз test.
перед этим еще раз проверил в безопасном режиме систему Dr.Webом и он удалил из карантита NAV 1540 файлов определив их как Win32.HLLM.Generic.440
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: