Вирус

Printable View

16.05.2009, 19:02
VENOM

Вирус

Внезапно стали появлятся левые процессы, не запускаться некоторые программы и пропал ехешник авз. Боюсь что все идет к повторению ситуации [URL]http://virusinfo.info/showthread.php?t=41316[/URL]. Только всплыл вирь через 3 месяца, при учете что до этого стоял каспер, но ни он, ни авз ничего не находили.

Upd:
в C:\Documents and Settings\spenser\Local Settings\Temp нашел winnhyiwh.exe и wintdtwlx.exe
16.05.2009, 21:12
AndreyKa

[quote=VENOM]в C:\Documents and Settings\spenser\Local Settings\Temp нашел winnhyiwh.exe и wintdtwlx.exe [/quote]
Загрузите их через форму [url]http://virusinfo.info/upload_virus.php?tid=45888[/url] согласно приложению 2 Правил.

Установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
16.05.2009, 22:46
VENOM

:)
16.05.2009, 23:38
AndreyKa

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\spenser\LOCALS~1\Temp\winvavxg.exe','');
QuarantineFile('C:\DOCUME~1\spenser\LOCALS~1\Temp\winodfg.exe','');
DeleteFileMask('C:\DOCUME~1\spenser\LOCALS~1\Temp', '*.exe', true);
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Выполните процедуру описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
17.05.2009, 00:26
VENOM

Результат загрузки
Файл сохранён как 090517_002623_virusinfo_files_WARHEART-CF42D6_4a0f216f5340a.zip
Размер файла 13590502
MD5 c848317989aa7005b224e38c6a4772c5
17.05.2009, 00:58
AndreyKa

Худшие опасения подтвердились :(
[url]http://virusinfo.info/showpost.php?p=402645&postcount=1123[/url]
Компьютер заражен вирусом Virus.Win32.Sality.z (exe файлы в папку Temp он записывает).

Как лечить файловый вируc: [url]http://virusinfo.info/showthread.php?t=15927[/url]
17.05.2009, 02:59
VENOM

Спасибо, осталось найти здоровый компьютер с интернетом.
17.05.2009, 19:25
VENOM

Разблокировал безопасный режим, начал делать проверку... CureIt находит один и тот же вирь в каждом экзешнике так и должно быть? Так же нашел 1 бекдор..
17.05.2009, 19:38
AndreyKa

На то это и [B]Virus.Win32[/B].Sality.z, что он инфицирует все программы для Windows. Лечите их.
17.05.2009, 20:08
VENOM

Какой-то Virus.5
понятно, спасибо, на ночь сделаю проверку до конца.
17.05.2009, 20:28
AndreyKa

Точнее говоря, по классификации DrWeb: Win32.Virut.5
18.05.2009, 23:27
VENOM

Закончилась проверка в безопасном режиме, перезагружаюсь, ввожу пароль и тут же после ввода получаю предупреждение о том, что файлы виндовс были заменены. При запуске CureIt сразу же вылетает алерт с ошибкой "f4q46.exe - Диск отсутсутствует" Получается вся эта проверка была в пустую.. быстрая проверка в обычном режиме опять нашла все теже Win32.Sector.5, а также один Sector.7
Что делать?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 35 минут[/I][/B][/color][/size]

Видимо придется делать полный формат.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 29 минут[/I][/B][/color][/size]

Еще вопрос, может ли заразиться iPod при подключении к компьютеру?
19.05.2009, 10:42
Rene-gad

[QUOTE=VENOM;403373]
Еще вопрос, может ли заразиться iPod при подключении к компьютеру?[/QUOTE]Спросите на форуме iPOD :), я думаю, что нет, по крайней мере я не знаю случаев заражения Mac OS вирусами Windows.
20.05.2009, 19:42
VENOM

Так что делать? Формат? Просто пока возможности подрубить хард к другому компу нет.
21.05.2009, 19:42
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\spenser\local settings\temp\winkytl.exe - [B]Trojan.Win32.Agent.cisn[/B] ( DrWEB: Trojan.Spambot.3378, BitDefender: Backdoor.Bot.71336 )[*] c:\documents and settings\spenser\local settings\temp\winnxyiwh.exe - [B]Trojan-PSW.Win32.Agent.myo[/B] ( DrWEB: Trojan.PWS.Multi.41, BitDefender: Trojan.Crypt.HO )[*] c:\documents and settings\spenser\local settings\temp\wintdtwlx.exe - [B]Trojan-Downloader.Win32.Agent.bpro[/B] ( DrWEB: Trojan.MailSpam.41, BitDefender: Generic.Malware.FYddld.BF844B9E )[*] c:\docume~1\spenser\locals~1\temp\winodfg.exe - [B]Trojan-Downloader.Win32.Agent.bpro[/B] ( DrWEB: Trojan.MailSpam.41, BitDefender: Generic.Malware.FYddld.BF844B9E )[*] c:\docume~1\spenser\locals~1\temp\winvavxg.exe - [B]Trojan-PSW.Win32.Agent.myo[/B] ( DrWEB: Trojan.PWS.Multi.41, BitDefender: Trojan.Crypt.HO )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]