Подозрение на вирус

**Exorian** · 15.11.2010, 17:37

Подозреваю что подхватил вирус...
Иконки файлов, с неизвестным расширением и .exe без иконки поменялись на какую то зелёную звезду или что то в этом духе

+ Ос грузиться долго и после старта долго не могу запустить подключение к интернету.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 15.11.2010, 19:10

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\colacoca.BAT','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

**Exorian** · 15.11.2010, 20:07

Закачал.
colacoca.bat сам делал, там нечего нету...
Что то с расширением .pif это AVZ.
DLLка от программы, подсчитывающей расстояние "проеханое" мышкой и количество нажатых кнопок в различных приложениях.
ucp.cmd UCP Anti-Cheat для Counter Strike.

Вот так вот выглядит изменённая иконка у файлов с "неизвестным расширением"...

**Шапельский Александр** · 15.11.2010, 20:15

Сделайте лог
полного сканирования МВАМ и лог Gmer

**Exorian** · 16.11.2010, 00:00

Лог Gmer'a сделать не могу т.к. Windows уходит в BSOD при сканировании, жалуясь на драйвера Gmer'a.

**light59** · 16.11.2010, 08:56

В AVZ

Код:

begin
 ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-606747145-776561741-682003330-1003\Dc477.exe','');
 deletefile('C:\RECYCLER\S-1-5-21-606747145-776561741-682003330-1003\Dc477.exe');
BC_ImportAll;
BC_Activate;
 executesysclean;
RebootWindows(true);
end.

Пришлите карантин.

AVPTool устанавливали?
MBAM повторите.

**Exorian** · 16.11.2010, 13:37

Закачал.
AVP когда-то устанавливал но вроде удалял.
Лог прикрепляю.

**light59** · 16.11.2010, 15:47

Удалите эти строки в mbam

Код:

C:\WINDOWS\system32\drivers\90711322.sys (Rootkit.Agent.H) -> No action taken.
C:\System Volume Information\_restore{609CA2F6-B3C3-4B83-A06A-B3E44AB1657A}\RP42\A0025022.exe (Virus.Expiro) -> No action taken.
C:\System Volume Information\_restore{609CA2F6-B3C3-4B83-A06A-B3E44AB1657A}\RP42\A0025636.exe (Trojan.Dropper.PGen) -> No action taken.
C:\System Volume Information\_restore{609CA2F6-B3C3-4B83-A06A-B3E44AB1657A}\RP42\A0025637.exe (Trojan.Dropper.PGen) -> No action taken.
C:\System Volume Information\_restore{609CA2F6-B3C3-4B83-A06A-B3E44AB1657A}\RP42\A0025638.exe (Trojan.Dropper.PGen) -> No action taken.

**Exorian** · 16.11.2010, 18:36

Сделано.
Подвисаний не замечено но иконки всё те же.

**light59** · 16.11.2010, 19:10

Вроде бы иконки никак не вернуть. Либо надо искать в инете, как это делать. Лично я не знаю

Добавлено через 1 минуту

мб поможет http://otvety.google.ru/otvety/threa...6ce51ed9007547

**Exorian** · 16.11.2010, 22:02

Дело в том, что сама дефолтная иконка поменялась...
Если нажимать сменить значок и т.д. то там всё отображается нормально, но на самом деле значок кривой...
Ладно, буду мерится, Спасибо за помощь

**CyberHelper** · 17.11.2010, 22:02

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на вирус (заявка № 91770)

Опции темы