-
Вложений: 4
Не знаю,вирус,или нет
Народ,такая проблема :
Вчера вечером включил комп,винда норм загрузилась,но появилась некая проблема,а точнее на рабочем столе нормально запускаются все программы\игры т.е. все иконки ведущие прямой ссылкой на экзешник , а вот папки не реагируют на дабл клик,то есть жмешь,комп 5 сек подумает и ничего не открывается.
Через Выполнить--Обзор можно запустить все программы не с рабочего стола,запустил аваст,кашперовского....проверка не дала наличие вирусов
Запустил последний успешный запуск из опций при загрузки винды,все стало работать нормально.
Сегодня о5 включил комп и все по новой,причем посл.успешный запуск уже не помогает...
Не знал куда писать,модеры плиз не трите.
Прошу помощи в решении этой проблемы
ЗЫ только о скачал Hijackthis на рабочий стол,он там не появился,хотя через выполнить--обзор я его прекрасно вижу
-
[URL="http://virusinfo.info/showthread.php?t=1235"]выполните правила[/URL]
-
профиксить для начала:
[CODE]O20 - AppInit_DLLs:
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\[/CODE]
этот сервис перевести в "Disable"
[CODE]O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe[/CODE]
Должно полегчать.
-
[quote=PavelA;130287]профиксить для начала:
[code]O20 - AppInit_DLLs:
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\[/code]
этот сервис перевести в "Disable"
[code]O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe[/code]
Должно полегчать.[/quote]
Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет
перезагрузился,эффекта нет...
-
Прежде чем что-то удалять надо нам послать.И почему не выполнили правила ? Перечитать и выполнить точно. не хватает лога avz, базы avz не обновили ;(
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXPPRO\system32\tmp4.tmp.dll','');
QuarantineFile('C:\WINXPPRO\system32\config32\updater.dll','');
QuarantineFile('C:\WINXPPRO\system32\nwiz.exe','');
QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe /service','');
QuarantineFile('C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe','');
QuarantineFile('C:\WINXPPRO\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINXPPRO\system32\ntdll.dll','');
QuarantineFile('C:\WINXPPRO\system32\hal.dll','');
QuarantineFile('C:\WINXPPRO\system32\DRIVERS\CLASSPNP.SYS','');
QuarantineFile('C:\WINXPPRO\system32\BOOTVID.dll','');
QuarantineFile('C:\WINXPPRO\system32\qwerty12.exe','');
QuarantineFile('C:\WINXPPRO\system32\nvshell.dll','');
QuarantineFile('C:\WINXPPRO\SYSTEM32\mfcat.dll','');
QuarantineFile('c:\winxppro\system32\qwerty12.exe','');
QuarantineFile('C:\WINXPPRO\system32\pr2ajewe.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12012[/url]
-
[QUOTE=sven117;130302]Applnit и rpcc пофиксились вроде а mfcat удаляться не хочет
перезагрузился,эффекта нет...[/QUOTE]
А сервис отрубил?
Тогда будем ждать логи AVZ.
-
[B]drongo[/B], сделал
[B]PavelA[/B], сорри,а как его отрубить?
-
[quote=sven117;130311][B]PavelA[/B], сорри,а как его отрубить?[/quote]
Старт-Выполнить, написать [B]services.msc + [/B]клавиша Ввод. Найти сервис в списке, правым мышем - Свойства... ;)
-
[B]Rene-gad[/B],[SIZE="1"] его там нет[/SIZE]
[COLOR="Red"]а все после ребута он сам удалился видимо[/COLOR]
-
Администрирование - Службы - mfcat - стоп службе и перевести в состояние "Отключено".
-
Совсем не плохой урожай ;)
[B]Trojan.Win32.Agent.aoy (kaspersky)
Trojan-Downloader.Win32.Small.enq (kaspersky)
Trojan-Downloader.Win32.ConHook.bd (kaspersky)
вариантTrojan.Virtumod(dr.Web)[/B]
1)AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
DeleteFile('C:\WINXPPRO\system32\qwerty12.exe');
DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
DeleteFile('c:\winxppro\system32\qwerty12.exe');
BC_DeleteSvc('qwerty12.exe');
BC_DeleteSvc('mfcat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2. Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]O20 - AppInit_DLLs:
O20 - Winlogon Notify: mfcat - C:\WINXPPRO\SYSTEM32\mfcat.dll
O20 - Winlogon Notify: rpcc - C:\WINXPPRO\
O23 - Service: DomainService - Unknown owner - C:\WINXPPRO\system32\qwerty12.exe
[/code]
3.Сделать новые логи, как в первом вашем сообщении .
-
Вложений: 2
Вот данные с последних тестов
-
живучие, наверное что-то ещё живёт.
1.Пофиксить в HijackThis
[code]
O2 - BHO: (no name) - {99ac41d3-7138-45c4-ac69-88abce752581} - C:\WINXPPRO\SYSTEM32\mfcat.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINXPPRO\system32\tmp4.tmp.dll
[/code]
2.AVZ Файл - Выполнить скрипт
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINXPPRO\system32\config32\updater.dll');
DeleteFile('C:\WINXPPRO\SYSTEM32\mfcat.dll');
DeleteFile('C:\WINXPPRO\system32\tmp4.tmp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
E:\autorun.inf- нужно? (можно notepad посмотреть)? если нет, убить.
N:\HC\HandyCache\Cache\locator.contentsvc.com\sites\errorsafe.com-удалить всю папку с сайтом.
советую выполнить 2 пункт правил как указано и сделать новые логи.
-
[quote=drongo;130332]virusinfo_syscure.zip-вирусы съели?[/quote]
я просто когда не видел твое сообщение когда начал добавлять,лучше ща сделаю как ты сказал,потом все добавлю
-
Поздно , выполнить то что написал [url]http://virusinfo.info/showpost.php?p=130332&postcount=13[/url]
-
[B]drongo[/B], огромное тебе человеческое спасибо!
Все заработало нормально!)
Если нужно будет пересканировать заново - выложу сканы позже,сейчас по делам надо ехать...
Большое спасибо всем принимавшим участие в борьбе со злом на моём компе!
-
Желательно ;) Вот пару советов :
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....В MyIE то же нет такой опции +те же дырки от эксплорера ;))
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
П.с.Насчёт спасиб, у нас новая фича на форуме , можешь нажать ;)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]43[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winxppro\\system32\\config32\\updater.dll - [B]Trojan-Downloader.Win32.Small.enq[/B] (DrWEB: Trojan.DownLoader.25804)[*] c:\\winxppro\\system32\\mfcat.dll - [B]Packed.Win32.Klone.k[/B] (DrWEB: Trojan.DownLoader.21784)[*] c:\\winxppro\\system32\\qwerty12.exe - [B]Trojan.Win32.Agent.aoy[/B] (DrWEB: Trojan.Virtumod)[*] c:\\winxppro\\system32\\tmp4.tmp.dll - [B]Trojan.Win32.BHO.de[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]
Page generated in 0.00273 seconds with 10 queries