Здравствуйте.
Проблема у меня такая: С некоторого времени в папке C:\Documents and Settings\M@X\Local Settings\Temp начали появляться подозрительные файлы, которые пытались запуститься, но не могли, ругаясь на отсутствие msvcp71.dll Однако я .net framework 3 поставил и эти dll'ки появились. После этого подозрительные приложения (xxx.exe) запускались и висели в памяти загружая систему на 100% (если снять эти процессы, то загрузка системы сразу падала до 2%). Время от времени Dr. Web(ознакомительная версия) обнаруживал в них вирусы, но не всегда! После очистки папки temp, они опять появлялись и запускались через некоторое время (не дожидаясь перезагрузки компьютера) Сначала появлялся файл xxx.exe где xxx произвольный набор букв и цифр. Если Dr. Web его сразу не убивал, то затем появлялся файл yyy.conf, внутри которого была только путь к xxx.exe. Также в папке temp появляется пустая папка WPDNSE. Со временем эти икзишки запускаются. Для мониторинга процессов я пользуюсь Iarsn TaskInfo. Он сказал, что эти процессы подключаются к сайту http://t.zablen.com/zg.php?jejj-1_4788_1984 или http://news.medbod.com и идёт какой-то трафик (могу дать отчёт, логи). Также эта программа показывает, что через некоторое время после запуска эти процессов, запускается IEXPLORE.EXE в скрытом режиме и тоже что-то нехорошее делает.
Dr. Web иногда выдаёт такие сообщения
А в последнее время Spybot-S&&D говорит, что я типа хочу закачать "Avenue A, Inc.", которая известна, как опастная. И предлагает её блокировать. Я соглашаюсь. Но всё снова идёт по кругу
(temp-процесс-вирус-загрузка 100%-Avenue A)
Где этот вирус прописался, что постоянно закачивается? Уже так он мне надоел . Помогите Plz.
P.S. при сканировании AVZ я не отключал восстановление сис-мы, потому как не хочу потерять точки восстановления. И ещё: при сканировании процессы вирусов не были запущены.
P.P.S. Аналогичную проблему я нашёл на http://forum.drweb.com/viewtopic.php?t=4961 Но как её решить?
Последний раз редактировалось 4epenOK; 03.05.2007 в 19:44.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки система долго грузилась и в конце концов говорит "Система восстановленна после серьёзной ошибки"
Карантин прислал, C:\Program Files\VVSN и все файлы в папке Temp удалил. А вот и лог
После перезагрузки прикрепите файл boot_clr.log из папки AVZ к своему следующему сообщению.
Сообщение от PavelA
Если не отключать восстановление, лечится будем мучительно долго.
Сообщение от drongo
в дополнение , удалить ... все файлы в папке Temp .
А ещё, по-секрету скажу, есть в Винде замечательная рутина, которое и то и другое одним махом делает: cleanmgr. Вызывается она просто: Старт/Выполнить..., напечатать команду cleanmgr и надавить Ввод . Перед этим рекомендуется проделать небольшую операцию в реестре, как здесь написано.
Ну и напоследок: по желанию удаляются все пункты восстановления, кроме последнего.
Последний раз редактировалось Rene-gad; 03.05.2007 в 20:44.
Посмотрел-действительно, оригинальный smss.exe находится в system32. Скрипт выполнил. Перед перезагрузкой Dr. Web успел развернуть окошко о том, что найден вирус, но я прочитать не успел, так как компьютер начал перезагружаться. Однако всё поисчезало (осталось только картинка рабочего стола), горячие клавиши не реагировали, но мышка двигается, хотя и не работает правый клик. В таком состоянии компьютер провисел некоторое время, после чего я не выдержал и вырубил его вручную. После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное
Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
бороться и искать, найти и переработать!
После перезагрузки я посмотрел, файл smss.exe был удалён. Хотя в логе почему-то указано обратное
Надеюсь, что Вы вылечены. А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать.
На всякий случай повторите логи, как в Вашем первом сообщении.
Последний раз редактировалось Rene-gad; 03.05.2007 в 21:53.
Причина: Описка :-)
Провёл повторное сканирование. Вроде всё чисто. Правда я забыл убить процесс отвечающий, за обновление антивирусных баз (в первом логе), но думаю, что это не страшно. Если за завтрашний день не появится ничего страшного, значит я здоров
Спасибо всем, кто мне помогал, за оперативную работу.
Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
бороться и искать, найти и переработать!
А несоответствие лога и факта могу объяснить только тем , что лог был создан до отключения системы, а файл удалён при её новой загрузке. Если я не прав, прошу скорригировать.
Файл был удален командой DeleteFile.
А лог написан Boot Cleaner'ом, которому уже делать было нечего.
Для памятки , зверя будут звать Trojan-Proxy.Win32.Horst.yc
Код:
Hello,
smss.exe_ - Trojan-Proxy.Win32.Horst.yc
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
e-mail: [email protected]
http://www.kaspersky.com/
http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
> Attachment: 070503_201927_virus_463a0b8f34136.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=9457 070503_201927_virus_463a0b8f34136.zip
>
Значит этот вирь был новичок
Прошу прощения, что несколько не по теме: Можно ли без последствий удалить sptd.sys? Daemon Tools и alcohol были удалены уже давно. Сейчас использую Power ISO. Просто мне не понравились строчки AVZ на счёт перехвата чего-то там.
Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
бороться и искать, найти и переработать!
Файл был удалён. Но как быть с ключами реестра. Всё что было связано с sptd.sys я удалил, однако некоторые ключи заблокированы от изменений. К тому же в системном журнале появилась запись Тип события: Ошибка Источник события: Service Control Manager Код события: 7026 Описание: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: sptd Что делать?
Работать и создавать, сражаться и побеждать, расчитывать и не ошибаться,
бороться и искать, найти и переработать!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: