-
Junior Member
- Вес репутации
- 51
Вирус, работающий как "правильная" программа
5 дней назад комп стал сильно тормозить, инет глючит - самостоятельно переподключается несколько раз в минуту. Тех.поддержка уверяет, что с их стороны все ок, только с моего компа слишком много (в 4 раза больше нормы) Гб уходит каждый день.
Похоже на вирус.
Я проверила комп 4-мя разными антивирусниками:
- Касперским (работает в фоновом режиме);
- Spybot-search&destroy
- Ad-aware SE
- DrWeb. CureIT.
Ничего не обнаружено. В тех.поддержке сказали, что бывают такие вирусы, которые устанавливаются, как приличные программы, но сами потихоньку расстраивают систему.
Кто-нибудь знает, как их обнаружить??? В инет удается зайти с большим трудом, страницы открываются с 5-10 раза и комп притормаживает!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
Прошу прощения, не увидела этот раздел.
Постараюсь разобраться.
-
нужны три лога virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log
-
-
Junior Member
- Вес репутации
- 51
Всё, разобралась. Я все проделала по алгоритму, указанному на странице по ссылке во втором посте темы.
Прикрепляю лог hijackthis.log и virusinfo_syscheck.zip.
virusinfo_syscure.zip нет - AVZ в безопасном режиме отключается, просканировав 3/4 системы. Никаких логов в папке LOG после себя не оставляет.
Последний раз редактировалось Inguna; 05.08.2010 в 22:09.
-
Junior Member
- Вес репутации
- 51
p.s. Достаточно было прикрепить логи в этой теме или нужно повторно создавать новую?
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: IncrediMail MediaBar Toolbar - {a563639d-a539-4bce-b5b8-7da5faf87d00} - C:\Program Files\IncrediMail_MediaBar\tbIncr.dll (file missing)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: IncrediMail MediaBar Toolbar - {a563639d-a539-4bce-b5b8-7da5faf87d00} - C:\Program Files\IncrediMail_MediaBar\tbIncr.dll (file missing)
O3 - Toolbar: IncrediMail MediaBar Toolbar - {a563639d-a539-4bce-b5b8-7da5faf87d00} - C:\Program Files\IncrediMail_MediaBar\tbIncr.dll (file missing)
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Program Files\QIP\qip.exe (file missing) (HKCU)
2.Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Program Files\IncrediMail_MediaBar\tbIncr.dll','');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
polword
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Стабильно выдает:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Хотя я раньше не загружала файл с таким названием.Всё остальное сделала.
-
-
-
Junior Member
- Вес репутации
- 51
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении.
-
-
Junior Member
- Вес репутации
- 51
Результат загрузки
Файл сохранён как 100806_225447_virusinfo_files_HOME_4c5c5a77beb14.z ip
Размер файла 8447390
MD5 272b2a3dc887b1439287661d21a3a079
-
Архив 100806_225447_virusinfo_files_HOME_4c5c5a77beb14.z ip, загружен 06.08.2010 23:10:45, размер 8447390 байт
Всего файлов: 5 (исполняемых 5), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 2
обычный приоритет: 2
чисто
-
-
Junior Member
- Вес репутации
- 51
Еще раз спасибо, Polword!