Помогите, пожалуйста. В диспетчере программ постоянно зависает iexplore.exe, вне зависимости открыт ли интернет-эксплорер, подключен ли к нету комп. При попытке выключить, собака, перезагружается. При подключении к нету явно что-то дополнительно качает.
Комп был также заражен spool.exe, ctfmon.exe (который в драйверах тусовался), а также lanes.exe (в систем32), но я их вчера ручками вычистила из реестра и из папок. Правда, из трусости не стала удалять ddlklmwm из реестра, но вроде после проверки AVZ она из реестра тоже убралась. Что еще можно сделать?
Заранее большое спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinData.cab','');
QuarantineFile('c:\windows\temp\1.tmp','');
DeleteService('Winpw06');
DeleteService('Winxf17');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxf17.sys','');
DeleteService('tcpsr');
DeleteService('Agm07');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe','');
BC_DeleteSvc('c:\documents and settings\boris\application data\microsoft\windows\lsass.exe');
BC_DeleteSvc('C:\WINDOWS\system32\svshost.dll');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Agm07.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_DeleteSvc('C:\WINDOWS\System32\drivers\Winxf17.sys');
BC_DeleteSvc('C:\WINDOWS\System32\Drivers\Winpw06.sys');
BC_DeleteSvc('C:\Documents and Settings\Boris\Local Settings\Application Data\spool.exe');
BC_DeleteSvc('C:\WINDOWS\system32\drivers\ctfmon.exe');
BC_DeleteSvc('c:\windows\temp\1.tmp');
BC_DeleteSvc('C:\WINDOWS\system32\WinData.cab');
BC_DeleteSvc('C:\WINDOWS\system32\WlCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
PS Пора уже Service Pack 3 на Windows устанавливать (может потребоваться активация).
Спасибо Вам огромное. Поясните, пожалуйста, что есть новый лог из п. 2 диагностики. Что это syscure, syscheck или hijackthis? Просто у меня в правилах п. 2 - это CureIt.
И простите меня за тугодумие)))
Добавлено через 2 минуты
Файлы из карантина выслала. Если что, пишите.
Последний раз редактировалось Анастасия Сергиенко; 23.11.2008 в 02:52.
Причина: Добавлено
Упс. А вот это что-то не получается. Пытаюсь приложить, а файл не загружается. Конечно, может это и наша связь сбоит (немудрено, в такое время). А может... Уходит на невозможно отобразить страницу.
Может текст лога выложить в теле сообщения? Или может ну его до утра?
К сожалению, только что включили свет. Сразу же поставила на проверку CureItом, для получения лога из п. 2.
Тут Александр подсказал сделать лог из п. 3 раздела Диагностики. Подскажите, пожалуйста, это что, так как у меня в правилах третьим пунктом стоит скачать AVZ. Ох, у меня от этого вируса уже глаз дергается. Пишу пока с другого компа (заразный в безопасном режиме проверяется).
Он большой, заархивируйте в Zip.
Ещё: Мой кабинет - Управление вложениями - посмотрите, сколько там у вас вложено. Если под завязку, то старые удалите (старый логCureIt, например, он здоровый даже в архиве).
Ну наконец то. Пришлось чесать правой ногой левое ухо: переслала мужу, а он уже смог загрузить в виде многотомного архива. Если такое подойдет, дайте, пожалуйста, знать.
Добавлено через 8 часов 57 минут
Здравствуйте еще раз. Не подскажите, можно пересылать CureIt в виде многотомного архива, или лучше найти другие способы. Может, текстовый файл лога разделить на две части. Дело в том, что я его пыталась сжимать и в раре, и в зипе, а он все равно оказался чуть-чуть больше, чем разрешено загружать.
Последний раз редактировалось Анастасия Сергиенко; 24.11.2008 в 11:13.
Причина: Добавлено
Положено целиком в zip на файлообменник: http://ifile.it/0ncpadw
Там надо давить Request Ticket, чтобы сгенерировать ссылку, потом Download. Иногда немного подождать нужно или ещё чего-то.. в общем все жти защиты и коммерция... но должно загрузиться
Добавлено через 2 часа 41 минуту
Такой файлообменник подходит, или может надо найти что-либо другое?
Добавлено через 3 часа 44 минуты
Извините, пожалуйста. Просмотрела компьютер. Подскажите еще, что можно сделать. В реестре вроде бы уже ничего нет, но этот хам iexplore.exe все еще висит в процессах. Я чувствую, что это будет последний шаг (хоть он и трудный самый).
Последний раз редактировалось Анастасия Сергиенко; 24.11.2008 в 18:42.
Причина: Добавлено
Снова приходится к вам обращаться. После выполнения скрипта, проверки Кьюритом и т.д. никак не хотят удаляться tcpsr.sys, winpw06.sys, winxf17.sys, а также 1.tmp. CureIt находит в windows/temp вирус причем каждый раз в разных файлах, а AVZ всегда подозревает один и тот же 1.tmp. Однако вручную один файл из временных файлов не удаляется, программами тоже. При этом процесс iexplore.exe все еще висит в процессах даже при закрытом эксплорере.
Подскажите, пжлста, что делать. Может это просто глюк какой-то, а вовсе не вирус. Впрочем логи в приложении. Кьюритом сделал неполную проверку, но по ней также видно, что у него никак не удалится файл.
Может попробовать удалить подозрительные драйвера и файлы и temp, перед этим iexplore.exe с диска?
Не ну ей Богу, может я зря парюсь и фиг с ним - этим неправильным iexplore.exe. Однако боязно - мне надо кое-что перенести с заразного компа на комп без антивируса (вот именно антивирус и перенести).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: