В общем какойто дозвонщик создает файлы вида winXXX.tmp, дойдя до winFFF.tmp начинает их переименовывать в файлы вида iddXXX.tmp.exe и в дальнейшем выскакивает окно Disclaimer , в котором на каком то испанском что то написано, потом сворачивается в трэй и висит там пока не выключиш, пытается куда дозвониться . Когда выключишь - все начинается поновой. Аваст ничего не обнаружил , а эти временные файлы продолжают плодиться в папке temp.
***
Еще иногда выскакивает окошко(Outpost выдает его) - Сетевой доступ для процесса блокирован, WINLOGON.EXE изменил область памяти IEXPLORER.EXE
Все логи в аттаче.
Кстати вот опять вылез дозвонщик - вот лог AVZ скана папки TEMP с этим дозвонщиком
Последний раз редактировалось Imperiuz; 24.01.2007 в 12:22.
Причина: Дополнение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В AVZ выполнить скрипт, указанный ниже. Будет перезагрузка. После нее прислать карантин, в правилах указано как это сделать.
Ссылка на тему: http://virusinfo.info/showthread.php?t=7629
Код:
begin
Searchrootkit(true,true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\Documents and Settings\Женя\Рабочий стол\Учеба\VB(Sources)\vb_simple_icq_client\icq.exe','');
QuarantineFile('C:\Documents and Settings\Женя\Рабочий стол\Programs\ФЛЭШКА\Мое\6\Домашние\Задача 2\Project1.exe','' );
QuarantineFile('C:\WINDOWS\system32\WNASPI32.DLL','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winieq32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\winieq32.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Зверь не попал в карантин. Попробуй загрузиться в Safe Mode (F и выполнить скрипт:
Код:
begin
Searchrootkit(true,true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winieq32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\winieq32.dll');
ExecuteSysClean;
RebootWindows(true);
Остальные файлы вроде чистые. Что за программа
C:\Program.exe, может прокомментируешь. Плюс можно скачать Cure-It от Dr.Web и погонять в Safe Mode. Ссылка ниже. ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Загрузите полученный архив по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Последний раз редактировалось Alex_Goodwin; 24.01.2007 в 17:10.
@Alex Не знал об AVZGuard, каюсь. Скрипты через [CODE] вставляй, а то лишние пробелы пролетают. В нашем деле самое главное зверя убить, поэтому не обижаюсь.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
В общем перестали появляться файлы временные эти, нашелся еще один файл зараженный, который очень глубоко сидел(в кукесах IE) - видимо он и создавал эти временные файлы, но почему то раньше не обнаруживался! Спасибо за помощь. Avz крутая прога! Avast в упор не видел этот вирус
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: