При работе с литературным сайтом (hттp://www.strana-oz.ru/authors/?author=638), после скачивания медицинской статьи, комп(Win XP SP2, IE6.0.2900.2180.xpsp_sp2) заразился очень неприятным вирусом. К мышке намертво прикрепляется окно(что не даёт пользоваться мышкой) с рекламой гей-порно сайта и предложением послать смс(на популярные кидальные номера) для того, чтоб это всё отключить. Система была под NOD32 с актуальными базами. Сканирование винта с заражённого компа последними: др.Вебовским CureIt, касперовским Remuval Tool, NOD32 ничего не дало. Запустить Remuval Tool на заражённом не удалось, но нет уверенности, что это из-за вируса. Открыть на заражённом компе диспечер задач невозможно, точнее он его запускает и сразу сворачивает в трэй. При сканировании винта каспером 2009 с последними базами он вроде обнаружился эвристикой как "Trojan-Downloader.script.generic", но его удаление ничего не дало, в смысле окно с гей-информером никуда не делось...
Последний раз редактировалось PavelA; 24.03.2009 в 11:24.
Причина: Убил ссылки
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
да, именно это. Запускать на зараженном.
Можно вот этим попробовать z-oleg.com\avz.exe
Собственно заражённый винт на нормальном компе уже просканил. Однако что-то нашлось:
E:\RECYCLER\S-1-5-21-1715567821-688789844-725345543-1003\Dc43.05\Fw Копцепция развития здравоохранения в области редких болезней.msg/{MS-OLE}/\__recip_version1.0_#00000001\__substg1.0_0FF60102 >>>>> Trojan.Kyjak
А что за мышь? Если какой-то драйвер для нее ставили - удалите его: ни мышь ни клава не требуют никаких доп. драйверов.
Не... Мышь стандартная, я выше писал, что окно с рекламой гей сайта и предложением заплатить за мышкой болтается. Можно только на кнопочку "отключить" нажать, остальному мешает...
Не занимайтесь самодеятельностью! Нужны 3 лога по Правилам.
Собственно с главной проблемой(гей-информером) справились сами. Процесс(mscmd.exe) просто из автозагрузки в настройке системы убрали, правда на него совершенно никакой авирь напрямую не показал, AVZ в том числе. Если надо сам вирус пришлю...
А вот svchost про который раньше говорил, походу тоже троян и убрать его хочется... логи по правилам прикрепляю...
...Выполнить: AVZ Файл Восст.системы п.9,6,8 отметить, нажать "Выполнить".
Насчет этого не понял. Сейчас это сделать? не дожидаясь заключения(скриптов) от Вас?
Последний раз редактировалось OLEGARX; 25.03.2009 в 10:07.
Специально для Вас снова запустил на компе вирус, скрипт лечения сработал нормально. Правда выделенного не было уже... Честно говоря не помню, чтоб это всё хоть чем-нибудь находилось и чистилось... Кстати, что за фиговина(C:\WINDOWS\system32\drivers\vdezmza1.sys 13312) во время лечения пролезть попыталась?
C:\WINDOWS\system32\drivers\vdezmza1.sys - это нормальный файл, нужный для лечения.
Все то, что написано в скрипте, когда-то жило на машине.
ntos.exe - ворователь паролей.
MsSip*.exe - это в инсталяшку Зверя зашито. Один раз выполняется, а из автозагрузки не убирается.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: