Показано с 1 по 17 из 17.

Подозрительное поведение компа (заявка № 29990)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58

    Подозрительное поведение компа

    Здравствуйте снова!
    Посмотрите, пожалуйста, ребята - мне кажется, что на компе вирусы или трояны, или и то и другое . Стоит ESET Nod32, который меня уже раз подвел.
    Симптомы:
    1) Браузер (и IE, и Firefox) без спроса переключает предыдущую страницу.
    2) Перед выключением компьютер жутко гудит, может быть, посылает трояноводу отчеты?
    3) Мышка "виснет".
    4) Из корзины файлы не удаляются - появляется сообщение "Не удается удалить Dc20. Объект используется другим пользователем или программой. Закройте все программы, которые могут использовать файл и повторите попытку".
    Хотя файл НЕ НАЗЫВАЕТСЯ Dc20! Хотелось бы также знать, кто этот пользователь, который использует мои видео-файлы из мусорника? Никакой программой файл не занят. Но стоит только выдернуть провод из сети (именно выдернуть, функция "отключить сеть" в окошке "сеть" ничего не дает) - файл удаляется без проблем. Не знаю, что и думать.
    Одна надежда на вас!
    Последний раз редактировалось xxxp; 23.06.2009 в 23:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\lnternat32.exe','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\system32\lnternat32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину. Для очистки корзины зайдите в безопасном режиме и сделайте это любой тулзой из описанных в ссылке.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    Странно, файрвол не работал вообще - был отключен. Это, наверное, эти вирусы. Кстати в прошлый раз уже здесь пытались от loader.exe избавиться, видимо, эта кака поселилась на компе.
    Lnternat32 - уже год, наверное, как пытаюсь от него избавиться - и периодически в стартапе его нахожу живым и здоровым..

    Все сделала как Вы сказали. Карантин закачала - 080911_083006_virus_48c91d5e6e94b.zip
    Последний раз редактировалось xxxp; 23.06.2009 в 23:58.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Насчет файрволла - я всем пишу, т.к. он не всегда виден в логах
    -Пофиксите
    O4 - HKLM\..\Run: [lnternat32] C:\WINDOWS\system32\lnternat32.exe
    Повторите логи от п.10 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    Пофиксила. Перезагрузила - в процессах сразу выскочило что-то:
    C:\WINDOWS\system32\sfrem01.exe
    В интернете пишут, что это Protection Technology (StarForce). Но в игрушки не играю Вопрос - стирать?
    Последний раз редактировалось xxxp; 23.06.2009 в 23:58.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    второй лог где ?

  8. #7
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    Сказали же "от п.10 правил" -
    10. ...Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

    Я думала, только один нужен? Сейчас добавлю...

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    hijackthis.log где ?

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    Что-то я не поняла. Мне сказали "Повторите логи от п.10 правил." = virusinfo_syscheck.zip
    Нужен virusinfo_syscure.zip и hijackthis.log ?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Да. От пункта 10 значит пункт 10 и выше.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  12. #11
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    Не поняла - virusinfo_syscure.zip нужен или нет. Приложу на всякий случай.
    Последний раз редактировалось xxxp; 23.06.2009 в 23:58.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\lnternat32.exe');
     DeleteFile('C:\WINDOWS\system32\loader.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  14. #13
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    надеюсь, логи на этот раз те что нужно.
    Последний раз редактировалось xxxp; 23.06.2009 в 23:58.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    Больше ничего плохого не увидел.
    какие еще проблемы?

  16. #15
    Junior Member Репутация
    Регистрация
    23.06.2008
    Сообщений
    53
    Вес репутации
    58
    ок, спасибо большое. вроде сейчас чисто. а то я делала netstat -b раньше, к компу были подключен какой-то чешский сервак, это наверное как-то связано с этим internat32 и loader.exe.

    Вообще-то странно, что с первого раза не удалились. Может быть, это как-то связано с тем, что комп каждый раз после ребута выдавал такую белую полосу на черном экране (непосредственно перед заставкой Windows XP) - ну, знаете, такая внизу экрана - она бывает, когда делаешь Last known good configuration.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от xxxp Посмотреть сообщение
    Вообще-то странно, что с первого раза не удалились.
    Не все всегда удается с первого раза

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\scanspyware v3.8.0.4\\scanner.exe.bak - not-a-virus:FraudTool.Win32.Devushka.b
      2. c:\\windows\\system32\\loader.exe - Trojan-PSW.Win32.Delf.afc (DrWEB: Trojan.Starter.540)


  • Уважаемый(ая) xxxp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительное поведение ОС
      От BooZ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2011, 23:56
    2. Подозрительное поведение ПК
      От Genie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.06.2010, 09:45
    3. Подозрительное поведение
      От SlavikS70 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.03.2010, 08:53
    4. Подозрительное поведение
      От refs в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2009, 13:24
    5. Ответов: 2
      Последнее сообщение: 12.03.2008, 14:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00965 seconds with 17 queries