Вирус не распознается

Printable View

04.04.2009, 01:52
Camomile

Вложений: 3

Вирус не распознается

Здравствуйте!
полторы недели назад схватил вирус и все это время с ним бьюсь, больше так не могу....
Вирус копируется сам на диски. Создает папку RECYCLER, в ней файл со значком корзины и названием "S-1-5-21-1777059634-004724". После удаления вручную появляется вновь. Антивирусы его не видят, в том числе AVIRA, AVAST, CUREIT, AVZ. Когда поймал его стояла авира. Пытался отправить файл др вебу, не удалось потому что пишет что файл весит 0. Раньше у этого вируса еще был также как и папка ресайклер скрытый авторан, но после упорной борьбы он больше не появляется.
Сегодня после того как скачал АВЗ начал выделывать новые фокусы: писать разные символы в поисковике браузера, а также открытом ворде, но это было несколько секунд.
недавно перезагрузился и получилось разархивировать хайджек, до этого писал, что вроде "вам не разрешено этот путь или объект", также не мог скачать касперского.
пожалуйста помогите....
04.04.2009, 03:14
Bratez

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {0E97D35B-9C4E-47D2-9854-2D5D486C495C} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACAC11F2-B359-4196-949B-DB57A171E81D}: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.208,85.255.112.79
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\Camomile\LOCALS~1\Temp\W.exe','');
DeleteFile('C:\DOCUME~1\Camomile\LOCALS~1\Temp\W.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43192[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
04.04.2009, 10:07
Camomile

Вложений: 2

карантин пустой. появился новый симптом, при загрузке появляется мастер установки оборудования и предлагает установить оборудование, о котором "нет данных". вот новые логи
04.04.2009, 11:51
V_Bond

в логах ничего зловредного ...
выполните [url]http://virusinfo.info/showthread.php?t=10025[/url]
04.04.2009, 11:53
Camomile

но папка RECYCLER появилась снова на двух дисках D и E
04.04.2009, 11:57
Гриша

RECYCLER это корзина...
04.04.2009, 11:58
Camomile

в ней файл со значком корзины и названием "S-1-5-21-1777059634-004724" тоже должен быть?
04.04.2009, 11:59
Гриша

Да...
04.04.2009, 12:03
Camomile

тогда почему у меня в ворде писалось само что то вроде tesstttest
04.04.2009, 12:05
V_Bond

так авз провоцирует клавиатурных перехватчиков ... в правилах же написано , что во время проверки никакие ! программы не дожны быть запущены ....
04.04.2009, 12:22
Camomile

видимо, это уже паранойя... я наверно не заметил на каком этапе убил вирь...
всем спасибо