Trojan Wmchange

Printable View

12.06.2007, 15:27
Светлана

Trojan Wmchange

Здравствуйте!
Возникла вот какая проблема - при выключении питания компьютера, сбиваются настройки даты и времени, каждый раз он показывает декабрь 2001 года, 23-00.
Возможно, из-за этого, отключается вирусная защита (Dr.Web). Восстанавливаю ее каждый раз, но каждый раз, при выключении компьютера, она пропадает.
Система пишет, что не загружен ключевой файл, хотя она у меня лицензионная и на 1 год. А недели 2-3 назад, при работе в Интернет, SpIDer Guard стал выдавать сообщение, что компьютер поражен вирусом - C/windows/system 32/swmclip.dill инфицирован Trojan Wmchange. Системой оплаты WEB Money не пользовалась ни разу.
12.06.2007, 15:31
Muzzle

выполните пожалуйста [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
а сброс времени может происходить ещё из за севшей батарейки на материнской плате,ничего нового не пишет при старте компьютера? CMOS battery failed например.
12.06.2007, 15:44
Светлана

Пишет: CMOS check sum error -Defoults loaded.
Нажмите F1 для продолжения.
12.06.2007, 15:45
Muzzle

[URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] выполните всё равно и батарейку замените :)
12.06.2007, 18:50
Светлана

Вложений: 2

Trojan Wmchange

Следовала правилам, файлы AVZ сохранились, а вот файл [B][SIZE=3][COLOR=#0000ff]HijackThis не нахожу, при нажатии на программу, она опять предлагает инсталляцию, а протокол отражался в Блокноте. [/COLOR][/SIZE][/B]

[B][COLOR="Red"]Карантин нужно присылать только по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL]. На этот раз я сам загрузил, повторно этот карантин присылать не надо.[/COLOR][/B]
12.06.2007, 19:00
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\swmclip.dll','');
DeleteFile('C:\WINDOWS\system32\swmclip.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_DeleteFile('C:\WINDOWS\system32\swmclip.dll');
BC_DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Последует перезагрузка.
Пришлите карантин согласно приложению 3 правил.
Загружать карантин через [URL="http://virusinfo.info/upload_virus.php?tid=10336"]эту страницу[/URL].
Сделайте новые логи п.10-13 правил.
Из Блокнота лог HijackThis разве не сохраняется?
12.06.2007, 19:11
Светлана

Trojan Wmchange

Нужно ли восстанавливать системные файлы на дисках С и D, пока не произошло излечение? Диск D был отключен в самом начале. При восстановлении системы, следует ли отключить его снова.
12.06.2007, 19:19
Bratez

Восстановление системы на всех дисках должно быть отключено перед началом лечения, об это в правилах сказано.
12.06.2007, 19:22
Светлана

Простите за бестолковость, я еще чайник. Что значит: Выполните скрипт в AVZ? Его нужно прописать в какой-то строке?
12.06.2007, 19:28
Bratez

[QUOTE]Что значит: Выполните скрипт в AVZ?[/QUOTE][url]http://virusinfo.info/showthread.php?t=7239[/url]
12.06.2007, 23:23
Светлана

Вложений: 2

Сделала, как вы советовали. Теперь вирус уничтожен? Больше сообщение о его наличии не всплывает.
13.06.2007, 02:20
Bratez

Видимо уничтожен, но постарайтесь все-таки разобраться с программой HijackThis и сделать ее лог.
13.06.2007, 03:49
Muzzle

swmclip.dll - [B]Downloader.Win32.PopCap.a[/B]
Вы наверно запускаете снова скаченый вами установщик,чего делать не надо.Программа HijackThis создаёт на рабочем столе ярлык,нужно запустить его.
После запуска, по пункту 12 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL],и полученный лог который попал в блокнот сохраняем и прикрепляем ;)
13.06.2007, 09:21
Светлана

Вложений: 1

Здравствуйте.
Спасибо огромное за помощь!
13.06.2007, 09:49
drongo

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2.
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] ) . Если останется конечно ;)
[code]O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
13.06.2007, 13:42
Светлана

Вложений: 3

Пофиксила, сделала новые отчеты AZV, правда не перезагрузила компьютер после первого (просмотр), наверно, поэтому он выдал что-то новое во втором отчете. Посмотрите пожалуйста, есть еще что-нибудь?
13.06.2007, 14:14
drongo

Больше ничего интересного не наблюдается ;)
Чтобы уменьшить шанс заражения советую на будущее :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3)отключить не кому не нужные (кроме кул хацеров) сервисы самой виндоус.
Сделайте пожалуйста следующее: [url]http://virusinfo.info/showthread.php?t=3519[/url] для помощи нам.
14.06.2007, 12:39
Светлана

Спасибо вам за помощь. Выслала лог по пункту 4 AVZ. Еще раз спасибо!
22.02.2009, 01:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]