Показано с 1 по 12 из 12.

Плодится в папке Windows/Temp, потом звонит (заявка № 7629)

  1. #1
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    10
    Вес репутации
    63

    Thumbs up Плодится в папке Windows/Temp, потом звонит

    В общем какойто дозвонщик создает файлы вида winXXX.tmp, дойдя до winFFF.tmp начинает их переименовывать в файлы вида iddXXX.tmp.exe и в дальнейшем выскакивает окно Disclaimer , в котором на каком то испанском что то написано, потом сворачивается в трэй и висит там пока не выключиш, пытается куда дозвониться . Когда выключишь - все начинается поновой. Аваст ничего не обнаружил , а эти временные файлы продолжают плодиться в папке temp.
    ***
    Еще иногда выскакивает окошко(Outpost выдает его) - Сетевой доступ для процесса блокирован, WINLOGON.EXE изменил область памяти IEXPLORER.EXE
    Все логи в аттаче.


    Кстати вот опять вылез дозвонщик - вот лог AVZ скана папки TEMP с этим дозвонщиком
    Вложения Вложения
    Последний раз редактировалось Imperiuz; 24.01.2007 в 12:22. Причина: Дополнение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    В AVZ выполнить скрипт, указанный ниже. Будет перезагрузка. После нее прислать карантин, в правилах указано как это сделать.
    Ссылка на тему:
    http://virusinfo.info/showthread.php?t=7629
    Код:
    begin
    Searchrootkit(true,true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program.exe','');
    QuarantineFile('C:\Documents and Settings\Женя\Рабочий стол\Учеба\VB(Sources)\vb_simple_icq_client\icq.exe','');
    QuarantineFile('C:\Documents and Settings\Женя\Рабочий стол\Programs\ФЛЭШКА\Мое\6\Домашние\Задача 2\Project1.exe','' );
    QuarantineFile('C:\WINDOWS\system32\WNASPI32.DLL','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winieq32.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\winieq32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин надо посылать, как указано в Правилах (см Приложение 2), а не прикреплять к сообщению.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    10
    Вес репутации
    63
    Послал )

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Зверь не попал в карантин. Попробуй загрузиться в Safe Mode (F и выполнить скрипт:
    Код:
    begin
    Searchrootkit(true,true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program.exe','');
    QuarantineFile('C:\WINDOWS\SYSTEM32\winieq32.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\winieq32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    Остальные файлы вроде чистые. Что за программа
    C:\Program.exe, может прокомментируешь. Плюс можно скачать Cure-It от Dr.Web и погонять в Safe Mode. Ссылка ниже.
    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    10
    Вес репутации
    63
    Сейчас попробую по F8 и выложу логи, на диске С program.exe нет никакой(ни в скрытых ни в системных)

  8. #7
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    10
    Вес репутации
    63
    Кстати ты операторные скобки забыл закрыть end

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это хорошо, что ее нет. Значит просто мусор в реестре болтается.
    З.Ы. Торопимся, иногда ошибаемся
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Павел! AVZGuard не работает в сейф моде!

    Попробуйте поискать требуемые файлы по правилам
    1. Выберите "Файл" - "Добавление в карантин по списку".
    2. В верхнем окне введите список файлов которые Вас просили прислать.
    3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
    4. Закройте текущее окно "Добавление в карантин по списку"
    5. Выберите из меню "Файл" - >"Просмотр карантина".
    6. Справа в списке файлов отметьте те файлы которые хотите выслать.
    7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    8. Загрузите полученный архив по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    Последний раз редактировалось Alex_Goodwin; 24.01.2007 в 17:10.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    @Alex Не знал об AVZGuard, каюсь. Скрипты через [CODE] вставляй, а то лишние пробелы пролетают. В нашем деле самое главное зверя убить, поэтому не обижаюсь.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    24.01.2007
    Сообщений
    10
    Вес репутации
    63
    В общем перестали появляться файлы временные эти, нашелся еще один файл зараженный, который очень глубоко сидел(в кукесах IE) - видимо он и создавал эти временные файлы, но почему то раньше не обнаруживался! Спасибо за помощь. Avz крутая прога! Avast в упор не видел этот вирус

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Imperiuz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 21.02.2011, 16:39
    2. Ответов: 4
      Последнее сообщение: 08.02.2011, 10:36
    3. в папке С:\windows\temp поселился некий csrrs.exe
      От brutalist в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.02.2011, 17:12
    4. Ответов: 9
      Последнее сообщение: 23.02.2010, 15:38
    5. startdrv.exe в папке Windows/Temp
      От Filosoff в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 02:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01106 seconds with 17 queries