Проблема в следующем:
На всех дисках появляются скрытые файлы. Названия khr (0 байт), kpzquz.exe (411 Кб) и autorun.inf. Простое удаление, ясное дело, не помогает, причем ехе-файл появляется уже под другим именем, но в любом случае имя состоит из 6 символов.
AVPTool определил вирус как Trojan.Win32.AutoIt. и еще две буквы (по-разному бывает). Два зараженных ехе-файлика нашел в system32, парочка dll в temp, остальное в корне каждого диска. Вроде как полечил, но после перезагрузки опять вылезают. Autorun.inf еще получалось на какое-то время убить, а вот остальные никак .
Траблы вылезают такие:
- открываются некоторые диски в отдельных окнах (несмертельно)
- не включается опция просмотра скрытых файлов (приходится через файловый менеджер)
- после подключения к инету минут через 15 выдается ошибка чтения приложения svchost.exe, после чего панель задач виснет (между приложениями переключиться можно только через Alt+Tab), соответственно, нормальная работа прекращается.
Использую на постоянной основе Symantec Antivirus, браузер Opera.
Помогите, если можете.
С уважением, Николай.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\kpzquz.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\J61NQMUN\FBMA_ELL[1].dll','');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\J61NQMUN\FBMA_ELL[1].dll');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\J61NQMUN\FBMA_FRA[1].dll');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\LO43IFX9\FBMA_DEU[1].dll');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\PMWXG6VV\FBMA_CAN[1].dll');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\PMWXG6VV\FBMA_ESN[1].dll');
DeleteFile('D:\Documents and Settings\papawork\Local Settings\Temporary Internet Files\Content.IE5\PMWXG6VV\FBMA_PTG[1].dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\kpzquz.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\kpzquz.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\kpzquz.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\kpzquz.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\kpzquz.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\kpzquz.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Извините, не понял. Запись такую в реестре нашел, равна 0х00000001. Что с ней делать? Присвоить другое значение или удалить вовсе?
Добавлено через 20 минут
Вроде вчера уже перегружал комп, не было этих левых скрытых файлов, думал вылечился. Сегодня загружаю - опять полезли . Может, просто Symantec Antivirus непригоден для сдерживания этого вируса? Хотя выдает, что нашел чего-то там и все такое . К сожалению, мне нужно уехать, так что диалог прекратится. Если не убъете топик, через недельку продолжим. В любом случае, спасибо.
Последний раз редактировалось tkachenko511; 30.11.2008 в 10:03.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: