-
Full Member
- Вес репутации
- 0
Проблемы с загрузкой и выключением компа. Найдены трояны
Здравствуйте! У меня такая проблема: несколько дней назад компьютер перестал корректно выключаться. Процесс выключения останавливается на экране "Сохранение параметров...", которая может висеть и 5, и 10 минут. Помогает только кнокпа отключения питания. После ситуация ухудшилась - при завершении загрузки виснет наглухо, процессорное время жрут по очереди то Бездействие системы, то explorer, то winlogon. Проверка AVZ'ом показала, что есть "плохой" winlogon.exe, который находился в C:\Documents and settings\Lev\Local Settings\Temp и который прописался в автозапуск. Я выкинул его из автозапуска. Проблемы с загрузкой ушли. Проблема с выключением осталась.
Сегодня проверял сначала Dr Web CureIT, он нашел 2 трояна: Trojan.MulDrop.5509 (в каком-то scr-файле) и Win32.Grum (как раз в том самом winlogon). Файлы были удалены, после этого выполнил всю сборку информации, как описано в правилах.
Хочу удостовериться, что вирусы удалены полностью + возможно, что-то еще осталось, что подвешивает систему при выключении.
ЗЫ: система WinXP Prof SP2
Последний раз редактировалось AriaL; 03.05.2007 в 15:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте новую версию AVZ и повторите логи virusinfo_syscure.zip и virusinfo_syscheck.zip
-
-
-
-
Full Member
- Вес репутации
- 0
AVZ обновил и повторил файлы. AVZ кстати нашел еще и Trojan-Downloader.Win32.Small.dge в файлах Восстановления системы, написал, что удалил вирусный файл.
2 AndreyKa - нет, в журнале ошибок ничего подобного не встречается...
Последний раз редактировалось AriaL; 03.05.2007 в 15:37.
-
Сделайте сканирование версией 4.24 (у вас 4.23).
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Full Member
- Вес репутации
- 0
Тьфу, и правда 4.23... упс
Исправил
Последний раз редактировалось AriaL; 03.05.2007 в 15:37.
-
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Sprite Backup for Smartphone\SpriteService.exe','');
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 правил
-
-
Full Member
- Вес репутации
- 0
Прислал. Называется 070317_191205_virus_45fc1355a2112.zip
-
SpriteService.exe - чистый.
ipv6mons.dll' - Trojan-Spy.Win32.BZub.fm
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки повторите все логи.
-
-
Full Member
- Вес репутации
- 0
"SpriteService.exe - чистый." - слава Богу, а то эта штука у меня в телефоне установлена
Кстати, нужны ли в AVZ следующие действия:
Файл -> Просмотр карантина, поставить галочку напротив SpriteService.exe и нажать кнопки "Восстановить" и "Удалить" ?
Указанный скрипт выполнил.
ЗЫ: AVZ ругнулся на DAEMON tools, сказал, что там троян...
Последний раз редактировалось AriaL; 04.05.2007 в 16:29.
-
Зачем распускать клевету об AVZ ? AVZ ясно сказал - adware.То есть рекламная программа, а не trojan! Действительно, в последних версиях рекламная гадость есть в daemon tools, при установке есть опция установить прогу без этого модуля.
Пофиксить в HijackThis( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
И я бы удалил вот этот popcaploader- модуль шпионско-рекламной направленности :
Если захотите удалить вот скрипт :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.
P.s. После процедур перегрузиться, чтобы изменения вступили в силу.
Последний раз редактировалось drongo; 20.03.2007 в 01:41.
-
-
Кстати, нужны ли в AVZ следующие действия:
Файл -> Просмотр карантина, поставить галочку напротив SpriteService.exe и нажать кнопки "Восстановить" и "Удалить" ?
Нет. При добавлении в карантин файлы и ссылки на них остаются на своих местах.
-
-
Full Member
- Вес репутации
- 0
drongo, упс... точно, adware.
То, что указали, пофиксил.
PopcapLoader не удаляется. Все равно остается в этой папке.
Bratez, ок, спасибо
-
Попробуйте ещё раз , я поправил скрипт . Если не получиться, можно из safе-mode загрузиться и убить .
-