Win32.HLLW.Autoruner.3438 и 4801 - Помогите справиться!
Пожалуйста, помогите справиться с вирусом.
Создаются нулевые файлы khs и еще несколько названий, а также exe-файлы с произвольными именами типа lkzwbf.exe и т.п.
На некоторые Dr. Web Spider Guard (4.44) реагирует в виде сообщений lkzwbf.exe - infected with Win32.HLLW.Autoruner.3438 или Win32.HLLW.Autoruner.4801 и удаляет, некоторые удаляю сам, но они все равно потом появляются. В последнее время начались сбои в системе.
Выполнил сканирование с помощью Dr. Web LiveCD, а также Dr.Web Cure It в БП режиме. Ничего не нашлось.
Выполнил указанные вами пункты. Прилагаю файлы журналов. Буду признателен за помощь.
З.Ы. А сейчас еще qoadae.exe - infected with Trojan.Siggen.182 выскочило...
Последний раз редактировалось red_house; 17.12.2008 в 00:25.
Причина: новая информация
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=35814).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Да, файлы появляются в двух определенных папках.
D:\Oles\Job\
D:\_Stock\
Это не системные папки и не папки программ, просто папки с документами.
ПК не подключен к локальной сети, внешние носители не используются, интернет через ADSL.
Я проверил, файлы появляются из интернета. Я при этом никаких действий не выполняю - не открываю сайты, папки, не запускаю программы. Просто включаю интернет и через пару минут начинают скачиваться файлы.
Установил NetLimiter. Когда начинается скачивание этих файлов, NetLimiter показывает трафик не напротив какой-то программы, а напротив абстрактного "System". IP-адреса, по которым указывается входящий трафик, всегда разные (91.124.115.158, 94.178.175.219, 92.113.68.120...), но все вроде как относятся к UKRTELNET (Ukrtelecom). Вообще-то, это мой провайдер ADSL.
Теперь я запретил в NetLimiter входящий трафик для System. Наблюдаю, как пытаются установиться соединения с этими адресами, но NetLimiter их блокирует. Соответственно, файлы не появляются.
Но ведь это не метод? Это ведь кто-то у меня в компе пытается с этих адресов качать зараженные файлы? Как бы его выщемить?
Увы, я не вижу, за что можно зацепиться. Могу посоветовать лишь установить SP3 и заплатки, вышедшие после него. Есть шанс, что поможет. В любом случае будет на пользу.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: