Вирус создаёт файлы tmp.tmp везде.

**Kuzmitch** · 17.08.2010, 14:49

Вирус прописываеться в системном процессе lsass. Невозможно удалить. Распространяеться по всей облости жёсткого диска и потихоньку сбоит весь комп. Зависания перезагрузки, ошибки и т д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 17.08.2010, 15:07

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\ChhlWeb.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\rwj9H2u.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\rwj9H2u.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\ChhlWeb.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**Kuzmitch** · 17.08.2010, 23:02

Карантин отправил с паролем архива virus как мне Вы сказали. Щаз сделаю всё остальное. Благодарю за столь оперативный ответ!

Добавлено через 6 часов 16 минут

Скажите пожалуйста, а когда я снова делаю логи то они автоматически переписываються?

**thyrex** · 17.08.2010, 23:06

Должны

**Kuzmitch** · 17.08.2010, 23:14

Всё сделал. С нетерпением жду новых инструкций!

**thyrex** · 17.08.2010, 23:22

Файлы перестали плодиться?

**Kuzmitch** · 17.08.2010, 23:27

Может енто поможет, я переустанавливал Винду несколько раз и вирь не стёрся. Я форматнул жёсткий просто, а потом ещё низкоуровневым форматированием вирь остался. Я запустил Винду с диска и прогнал Касперского, Доктора Веба, потом ещё Нод32 прошёлся и количество tmp.tmp файлов сократилось до 1го я попытался его стереть ничего не вышло, я попробовал Unlocker и вирь включил перезагрузку через минуту комп перезагрузился и я вирь не нашёл. Я открыл Диспетчер задач и там увидел процесс lsass? я ткнул на него и файлы tmp.tmp сразу оказались в корне и системных папках + папки браузеров. Вот.

Добавлено через 1 минуту

Пока не могу понять. Теперь я нашёл tmp.tmp на другом жёстком.... Они время от времяни перестают плодится.... А потом опять.

**Kuzmitch** · 18.08.2010, 13:12

Так это всё? Вирус умер? Или мне ещё что то следует сделать?

**thyrex** · 18.08.2010, 13:17

Логи не показывают более ничего плохого

**Kuzmitch** · 18.08.2010, 16:51

Весь день сижу за компом и действительно никаких подвисаний, зависаний, крос файр включился, даже кажись скорость, входящая увеличилась, правда процесс lsass остался на него тыкаю tmp.tmp не образуются, ошибки не вадаёт. Большое спасибо. Если что скрипт через AVZ ещё раз загрузить можно? А так красавчики с меня причетаеться. Тема закрыта.

**thyrex** · 18.08.2010, 17:04

Сообщение от Kuzmitch

lsass

это системный процесс

Сообщение от Kuzmitch

Если что скрипт через AVZ ещё раз загрузить можно?

Лучше новые логи при необходимости сделаете

**Kuzmitch** · 18.08.2010, 23:37

Реально спасибо.

**CyberHelper** · 19.08.2010, 23:37

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус создаёт файлы tmp.tmp везде. (заявка № 85612)

Опции темы