-
Junior Member
- Вес репутации
- 50
Странные щелчки и прочие непонятные вещи
Прошу консультацию.
Отключил Авиру на 2 дня. После очередного серфа в наушниках начал слышать щелчки как после двойного клика по папке.
Авира после этого перестала запускаться. Переустановка не помогла. Скачал пробные версии Касперского и НОДа. Но они также не стартуют (только НОД кричит, что не может запустить в конце установки службу, то ли блочит его что-то, то ли прав не хватает, хотя я под админской учеткой Вин ХП).
Теперь еще постоянно просятся дрова на неизвестное устройство, хотя ничего не подключал.
После того, как я понажимал все вподряд в AVZ щелчки прекратились, но на следующий день после включения компьютера возникли снова.
Это вирус "щелкает" и блочит антивири?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\fla76.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\fla76.tmp');
QuarantineFile('C:\WINDOWS\System32\Drivers\az3w65kk.SYS','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\fzC7W6r9.sys','');
QuarantineFile('C:\WINDOWS\system32\fyimyuh.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Добавлено через 1 час 19 минут
Там ссылка есть на описание процедуры - Пофиксите в hijackthis
Последний раз редактировалось olejah; 12.09.2010 в 15:28.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Выполнил все действия. После Пофиксите в hijackthis - стал запускаться
Avast! Другие пока не пробовал.
П.С. Поставил NetLimiter, увидел что у меня почему то кушает трафик процесс iexplore, хотя я не пользуюсь IE. Встроенный фаервол предложил заблочить его, что я и сделал. После это начало выкидывать ошибки с текстом "чего-то там iexplore.exe .... память не может быть read". Но кажется эту ошибку периодически выбрасывало с появлением странных щелчков.
П.П.С. Также до выполнения всех действий зашел поболтать в чате EVE-онлайн и там тоже слышал щелчки по кнопкам со звуками уже EVE, но при этом никаких интерактивных действий не наблюдал как и в случае со звуками щелчков Windows.
П.П.П.С. Забыл добавить. При фиксе hijackthis, не разобравшись пофиксил все, что там было.
Добавлено через 30 минут
Начала работать Авира!!!
Спасибо громадное. Да прибудет с вами Сила.
Последний раз редактировалось MR Gray; 12.09.2010 в 16:14.
Причина: Добавлено
-
Сообщение от
MR Gray
П.П.П.С. Забыл добавить. При фиксе hijackthis, не разобравшись пофиксил все, что там было.
Ждите беды.
Если возникнут проблемы:
Запустите
HijackThis, нажмите кнопку
View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку
Restore.
Сделайте лог МВАМ
Последний раз редактировалось Никита Соловьев; 12.09.2010 в 16:30.
-
-
Junior Member
- Вес репутации
- 50
Прилагаю лог. Правда там еще авира что-то наудаляла
-
Удалите в МВАМ -
Код:
Зараженные файлы:
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\8TC6876D\contacts[1].exe (Heuristics.Shuriken) -> No action taken.
- Больше плохого не видно.
-
-
Junior Member
- Вес репутации
- 50
Спасибо еще раз большое за помощь. Если не секрет что это была за живность такая злая? Ну то что кликала, я так понимаю кейлогеры какие-то или что там накручивает счетчики на сайтах. Но так заблочить все антивири .... круто.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\fyimyuh.dll - Trojan-Spy.Win32.Ardamax.hgq ( DrWEB: Trojan.SpyBot.19, BitDefender: Trojan.Generic.4765657, AVAST4: Win32:Hookit-D [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-