-
Junior Member
- Вес репутации
- 52
W32.Downadup.B и W32.IRCbot
Здравствуйте.
Пару недель назад вылез Internet Security. Через десять секунд появилось сообщение Norton об обнаружении и удалении W32.Downadup.B и W32.IRCbot. После перезагрузки окно больше не появлялось.
Последствия: через несколько дней произошла рассылка спама со всех почтовых ящиков, используемых с этого компьютера; начались проблемы с запуском Windows, частые выпадения в BSOD; IE запускается с пятого раза (и то невсегда). На диске D: (не системном) обнаружились две скрытые папки с рандомными именами, одну из которых удалось удалить, ко второй - нет доступа.
CureIt'ом ничего обнаружено не было, Нортон также ничего не находит.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Смените пароли на всех почтовых ящиках.
Установите обновления, вышедшие после SP3.
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
-
-
Junior Member
- Вес репутации
- 52
Забыл сообщить, что
c:\program files\wave systems...
c:\program files\ntru cryptosystems...
никто никогда не устанавливал, в списке программ их нет.
Еще сильно смущают файлы
C:\WINDOWS\system32\psxss.exe
C:\WINDOWS\System32\wscript.exe
Лог gmer не сохраняется - система зависает.
С третьей попытки получилось
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
-
-
Junior Member
- Вес репутации
- 52
-
что-нибудь нашлось или результат нулевой?
Добавлено через 3 минуты
Сообщение от
Nikkollo
Установите обновления, вышедшие после SP3.
- cделали?
Последний раз редактировалось polword; 18.02.2010 в 10:50.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Обновления не устанавливались до этого момента. Сейчас пробую.
Во время сканирования было найдено огромное количество инфецированных объектов.
P.S.: обновления не устанавливаются
Последний раз редактировалось Суббота; 18.02.2010 в 11:56.
-
после всех Ваших лечений надо сделать новые логи.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tcgcsp.dll','');
SetServiceStart('tcsd_win32.exe', 4);
QuarantineFile('c:\program files\ntru cryptosystems\ntru hybrid tss v1.05\bin\tcsd_win32.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Карантин залил.
Файл сохранён как 100219_214419_virus_4b7edc0333ea9.zip
Размер файла 121461
MD5 9c86047a950a213a76d0d59ccc8eb88b
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
сделайте еще раз лог Gmer
-
-
Junior Member
- Вес репутации
- 52
Вручную установил 76 обновлений Windows.
Последний раз редактировалось Суббота; 09.07.2010 в 13:51.
-
Файлы в карантине чистые.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Папку D:\9c8a4e55034d015324f08c137f удалить через AVZ? (происхождение ее неизвестно)
-
Это обновления от МС. В последнее время они так прописываются.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
Это обновления от МС. В последнее время они так прописываются.
Дело в том, что до сегодняшнего дня установка обновлений была отключена, а дата создания этой папки - на день раньше даты появления баннера.
-
Можно поступить так: все содержимое папки в карантин, затем удалить.
После анализа расскажем, что в ней было.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
Можно поступить так: все содержимое папки в карантин, затем удалить.
После анализа расскажем, что в ней было.
Нет доступа к ней...
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
AVZ - Сервис - Поиск файлов на диске
Указываю путь к ней, в ней еще две папки, которые не открываются...