-
Junior Member
- Вес репутации
- 59
Вирус tporncollection, explorer.exe грузит проц...
Всем привет.
Случилась такая бяка с компом, грузит процессор постоянно explorer.exe
В разных папках и в корнях дисках появляется какой то вирус tporncollection, AVP находит и удаляет, но видимо сам рассадник не видит... Да и вообще что то машина чудит.
Заранее благодарен.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-1450960922-1801674531-500\Dc1\wgp\wgprun.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-1450960922-1801674531-500\Dc1\wgp\wgprun.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Карантин отправил согласно правилам.
Вот новые логи.
Появляется в папках вот такое г -= The Porn Collection =-
От куда то постоянно появляется я не пойму.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:55.
-
Компьютер в локальной сети? Диски открыты на запись при сетевом доступе?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
-
Скорее всего это к Вам из сети приходит. В логах этого компьютера ничего подозрительного нет.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
как быть ? лечить второй комп из сетки таким же образом ?
-
Если в Вашей сети их всего два, то выполните на втором компьютере сбор логов, создайте новую тему и выложите логи в ней
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Хорошо так и сделаю, но вопрос в другом, на первом компе заново придется фиксить все ? Папки по новой создаются не спроста. И при открытии этих папок или даже поиске этих папок на компе explorer.exe начинает грузить процессор на 99%, спасает снятие задачи и запуск приложения вручную "explorer.exe" тогда груз с проца спадает...
-
Да, скорее всего, на первом придется делать все заново.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Продолжение темы...
Второй комп вроде как вылечили, а вот с первым не ясно ... все эти папки появляются из не от куда.
Новые логи ниже.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:55.
-
Попробуем вот это:
http://images.malwareremoval.com/random/RSIT.exe
Запустите, выберите проверку файлов за последние два месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt
Их пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Сделал все как просили.
Вот логи.
Последний раз редактировалось Xaocc; 20.07.2009 в 16:55.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\WINDOWS\system32\sys32net.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по Правилам согласно Приложения 3
через http://virusinfo.info/upload_virus.php?tid=49058
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Отправил.
Файл сохранён как 090702_172237_virus_4a4cb49d36a49.zip
Размер файла 11697
MD5 1147465f7342cfdae0a74c943e00ccb6
-
sys32net.dll -Trojan.KeyLogger.3497 по Доктору Вебу.
Похоже, ворует пароли.
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\~.exe');
DeleteFile('C:\WINDOWS\system32\sys32net.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Все удалил спасибо большое.
Да тут паролей никаких и нету, воровать нечего
-
Там еще пару ключиков в реестре надо, наверное, подчистить.
Пока понаблюдай полезут эти директории или нет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\~.exe - Trojan-Downloader.Win32.Small.jyd
- c:\windows\system32\sys32net.dll - Trojan-Spy.Win32.Agent.awmd ( DrWEB: Trojan.KeyLogger.3497 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-