-
Junior Member
- Вес репутации
- 58
Подозрительное поведение компа
Здравствуйте снова!
Посмотрите, пожалуйста, ребята - мне кажется, что на компе вирусы или трояны, или и то и другое . Стоит ESET Nod32, который меня уже раз подвел.
Симптомы:
1) Браузер (и IE, и Firefox) без спроса переключает предыдущую страницу.
2) Перед выключением компьютер жутко гудит, может быть, посылает трояноводу отчеты?
3) Мышка "виснет".
4) Из корзины файлы не удаляются - появляется сообщение "Не удается удалить Dc20. Объект используется другим пользователем или программой. Закройте все программы, которые могут использовать файл и повторите попытку".
Хотя файл НЕ НАЗЫВАЕТСЯ Dc20! Хотелось бы также знать, кто этот пользователь, который использует мои видео-файлы из мусорника? Никакой программой файл не занят. Но стоит только выдернуть провод из сети (именно выдернуть, функция "отключить сеть" в окошке "сеть" ничего не дает) - файл удаляется без проблем. Не знаю, что и думать.
Одна надежда на вас!
Последний раз редактировалось xxxp; 23.06.2009 в 23:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\lnternat32.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\lnternat32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. Для очистки корзины зайдите в безопасном режиме и сделайте это любой тулзой из описанных в ссылке.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Странно, файрвол не работал вообще - был отключен. Это, наверное, эти вирусы. Кстати в прошлый раз уже здесь пытались от loader.exe избавиться, видимо, эта кака поселилась на компе.
Lnternat32 - уже год, наверное, как пытаюсь от него избавиться - и периодически в стартапе его нахожу живым и здоровым..
Все сделала как Вы сказали. Карантин закачала - 080911_083006_virus_48c91d5e6e94b.zip
Последний раз редактировалось xxxp; 23.06.2009 в 23:58.
-
Насчет файрволла - я всем пишу, т.к. он не всегда виден в логах
-Пофиксите
O4 - HKLM\..\Run: [lnternat32] C:\WINDOWS\system32\lnternat32.exe
Повторите логи от п.10 правил.
-
-
Junior Member
- Вес репутации
- 58
Пофиксила. Перезагрузила - в процессах сразу выскочило что-то:
C:\WINDOWS\system32\sfrem01.exe
В интернете пишут, что это Protection Technology (StarForce). Но в игрушки не играю Вопрос - стирать?
Последний раз редактировалось xxxp; 23.06.2009 в 23:58.
-
-
-
Junior Member
- Вес репутации
- 58
Сказали же "от п.10 правил" -
10. ...Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
Я думала, только один нужен? Сейчас добавлю...
-
-
-
Junior Member
- Вес репутации
- 58
Что-то я не поняла. Мне сказали "Повторите логи от п.10 правил." = virusinfo_syscheck.zip
Нужен virusinfo_syscure.zip и hijackthis.log ?
-
Да. От пункта 10 значит пункт 10 и выше.
-
-
Junior Member
- Вес репутации
- 58
Не поняла - virusinfo_syscure.zip нужен или нет. Приложу на всякий случай.
Последний раз редактировалось xxxp; 23.06.2009 в 23:58.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\lnternat32.exe');
DeleteFile('C:\WINDOWS\system32\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
надеюсь, логи на этот раз те что нужно.
Последний раз редактировалось xxxp; 23.06.2009 в 23:58.
-
-Пофиксите
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Больше ничего плохого не увидел.
какие еще проблемы?
-
-
Junior Member
- Вес репутации
- 58
ок, спасибо большое. вроде сейчас чисто. а то я делала netstat -b раньше, к компу были подключен какой-то чешский сервак, это наверное как-то связано с этим internat32 и loader.exe.
Вообще-то странно, что с первого раза не удалились. Может быть, это как-то связано с тем, что комп каждый раз после ребута выдавал такую белую полосу на черном экране (непосредственно перед заставкой Windows XP) - ну, знаете, такая внизу экрана - она бывает, когда делаешь Last known good configuration.
-
Сообщение от
xxxp
Вообще-то странно, что с первого раза не удалились.
Не все всегда удается с первого раза
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\scanspyware v3.8.0.4\\scanner.exe.bak - not-a-virus:FraudTool.Win32.Devushka.b
- c:\\windows\\system32\\loader.exe - Trojan-PSW.Win32.Delf.afc (DrWEB: Trojan.Starter.540)
-