Удаляю файл, а он появляется снова C:\temp\spstrp.exe Отправлял его в ДрВэб - они говорят не вирус, хотя файлик сам появляется после удаления. Сейчас добавлю логи
Удаляю файл, а он появляется снова C:\temp\spstrp.exe Отправлял его в ДрВэб - они говорят не вирус, хотя файлик сам появляется после удаления. Сейчас добавлю логи
Последний раз редактировалось cander; 02.04.2007 в 13:36.
Настройки IE Вы сами меняли?
Выполните скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\anti\SCANDER\SP-Session\spsession\sp_session.exe',''); QuarantineFile('C:\WINDOWS\vodopad3.scr',''); QuarantineFile('C:\WINDOWS\system32\killcopy.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tifsfilt.sys',''); QuarantineFile('snapman.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\aejhd3ql.SYS',''); QuarantineFile('c:\windows\system32\r_server.exe',''); RebootWindows(true); end.
"Пофиксите" в HijackThisКод:O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
Выслал
Результат загрузкиФайл сохранён как 070402_142317_virus_4610d995e166e.zip
Размер файла 4155080
MD5 e880ed73bb8db78ebf7cae4d18d6fa97
*********
Кстати, всё это началось с того, что я запустил вышеописанный файл, после его скачки из инета. До этого ничего подобного не было.
D:\anti\SCANDER\SP-Session\spsession\sp_session.exe' - этот файл я сам запускал
C:\WINDOWS\vodopad3.scr',''); тоже установливал, но за файл не ручаюсь
C:\WINDOWS\system32\killcopy.exe',''); - это копирование, использую с ФАРом
C:\WINDOWS\system32\DRIVERS\tifsfilt.sys',''); - без понятия
QuarantineFile('snapman.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sy s','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aejhd3 ql.SYS',- тоже не знаю что это
c:\windows\system32\r_server.exe' - это сам ставил
C:\WINDOWS\vodopad3.scr','' - уже удалил
Можно, кстати, провести эксперимент - запустить файл spstrp.exe, который я прислал в самом начале и посмотреть, что происходит.
Вот ёлки-палки, откуда берётся файл всомнил - это от проги D:\anti\SCANDER\SP-Session\spsession\sp_session.exe типа создаётся файл-ловушка.
А по всему остальному - нормально?
Не надо эксперементов и самодеятельности.Можно, кстати, провести эксперимент - запустить файл spstrp.exe, который я прислал в самом начале и посмотреть, что происходит.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
- \\spstrp.exe - Trojan.Win32.PopUpper.e
Уважаемый(ая) cander, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.