Прислали письмо на английском с текстом (в переводе не точно, но суть та же) "Привет. Ты тут просил найти один файл, я нашел, посмотри его. Надеюсь это то что ты искал." В письме был прикреплен файл с расширением .exe помоему.
После этого, при входе в инет каждый раз теперь автоматически посылаются на разные адреса письма с файлом в формате hta. Сканировала Avast Antivirus он нифига не нашел. То письмо удалила с ящика. Просканировала утилитой от DrWeb - CureIT! вышло сообщение что найден вирус Win32.HLLM.Perf., в реестре удаляю csrss, он снова появляется. В диспечере задач висит svchost несколько процессов и занимают очень много памяти, а так же не много подозрительные процессы, csrss.exe, lsass.exe, smss.exe.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выберите какой из антивирусов Вам больше нравится Avast или Нортон и удалите лbшний. Если оставите Avast то не забудьте включить или проверить что включен Фаервол встроенный в Windows (в настройках).
А из того, что я порекомендовал в предыдущем посте, что Вы попытались выполнить, кроме создания 2-х последних логов из пункта 6 ?
сделала все что вы сказали, но вирус никак на это не отреагировал
потом проделал вот эту процедуру (нашла на каком-то сайте):
Удаление червя Win32.HLLM.Perf
Для лечения можно воспользоваться следующим набором:
а) Dr.Web CureIt (http://download.drweb.com/drweb+cureit/)
б) утилита Process Explorer (http://www.sysinternals.com/Files/ProcessExplorerNt.zip)
в) драйвер трезвой головы и контроллер прямых рук.
Если с пунктом в) есть сомнения, то лучше пригласите опытного товарища.
Дальнейшие действия (предполагается, что а) и б) уже скачены):
1) отключаемся от сети/internet. Закрываем все ненужные приложения.
2) распаковываем и инсталируем утилиту Process Explorer. Если в процессе инсталляции будет предупреждение о недостающем компаненте DebuggingTools - не пугайтесь, ето нормально.
3) Запускаем утилиту Process Explorer. По-умочанию, в верхней части окна Process Explorer расположено дерево процессов. Итак, опускаемся в самый низ сего дерева и находим 2 процесса по имени services.exe и один svchost .exe. Все эти процессы идут в дереве процессов один за одним в самом конце дерева. Внимание! в зависимости от модификации данного червя возможно появление одного процесса services.exe и двух svchost .exe.Но опять же - они расположены один за одним в самом конце дерева процессов.
4) После того как мы определили процессы червя в п. 3), необходимо их просто убить. Здесь нужно "бить больно, но аккуратно". Для етого в дереве процессов Process Explorerа выбираем нужный процесс из п 3) , далее правой кнопкой мыши по нему, выбираем "Kill". Эту простую операцию нужно проделать для всех трёх процессов из п. 3). Внимание!ВСЕГО ПРОЦЕССОВ ИМЕННО 3, НЕ 2 , НЕ 4...
5) Запускаем утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Цель проверки - директория С:\WINDOWS. Действие для объектов зараженных Win32.HLLM.Perf - удалить.
6) Запусаем редактор реестра Windows: Пуск-Выполнить-набираем regedit-ok. Ищем и аккуратно (!!!) удаляем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Закрываем редактор реестра.
7) Далее рекомендую провести антивирусную проверку всей системы, т.к. мало ли что ещё подхватили.
ЭТО ПОМОГЛО!!!!!!!!!!
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
Уважаемый(ая) bzyaka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от bzyaka
