Подозрение на вирус

Printable View

02.06.2009, 23:20
crazYwee

Подозрение на вирус

Здраствуйте, был какойто странный файлик сегодня название точно непомню но лежал о н в темпе расширение tmp.exe я его удалила он седня был создан....
и до его появления и после удаления IE сильно тормозит, когда открывает окно загрузка цпу 100
проверьте пожалусто.
03.06.2009, 00:32
Rene-gad

Почему версию антивируса не обновили? Уже 2010 скоро будет, а у Вас еще 7-ка стоит.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('wlsmmsz');
QuarantineFile('C:\WINDOWS\system32\drivers\rncdspmxn.sys','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4T2VG1QJ\pin[1].exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl34.tmp.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\Temp\rdl34.tmp.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4T2VG1QJ\pin[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\rncdspmxn.sys');
DeleteService('wlsmmsz');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wlsmmsz');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
03.06.2009, 01:24
crazYwee

вот логи карантин закачиваю,
в Моем компьютере появилось Web Folders там пусто но до этого небыло этого ярлыка

карантин отправлен
03.06.2009, 10:35
light59

Карантин после выполнения скрипта где?
То, что вы сами скопировали, нас не устраивает и вас никто об этом не просил

[QUOTE]Скопирован пользователем из диспетчера модулей ядра
[/QUOTE]зачем?
03.06.2009, 13:37
crazYwee

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
вот=\

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

есть еще какойто карантин 28 мегабайт=\

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4T2VG1QJ\pin[1].exe','');
QuarantineFile('C:\WINDOWS\Temp\rdl34.tmp.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
вот с этим карантин отправила

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 6 минут[/I][/B][/color][/size]

Web Folders - системная папка, как от неё избавится ?
03.06.2009, 13:49
Rene-gad

[QUOTE=crazYwee;411049]
Web Folders - системная папка, как от неё избавится ?[/QUOTE]См. Сетевые подключения.

- Установите Сервис Пак 3 - возможно потребуется активация системы - и последующие патчи.
- Установите ИЕ 8
- Обновите Адоби Ридер
- Обновите JavaRE ([url]www.java.com[/url])
- Обновите Антивирус
03.06.2009, 14:13
crazYwee

в сетевых подключениях нет нечего необычного, я там нечего неменяла.
Web Folders можно какнить через риестр убрать или через авз ?
думаю это последствия вируса потому что до этого этой папки небыло
03.06.2009, 14:53
Rene-gad

[QUOTE=crazYwee;411180]
Web Folders можно какнить через риестр убрать или через авз ?[/QUOTE][url]http://otvety.google.ru/otvety/thread?tid=35cf883470372cbf[/url]
[QUOTE]
12. Запрещён .... грубое игнорирование правил русского языка .[/QUOTE]плиз, придерживайтесь...
03.06.2009, 15:15
crazYwee

спс, да с нервами уже о русском недумаеш(
04.06.2009, 10:09
Rene-gad

[QUOTE=crazYwee;411231]спс, да с нервами уже о русском недумаеш([/QUOTE][I]не думаешь[/I] :O Велика опасность, что рано или поздно Вас тут просто не поймут.
05.06.2009, 10:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.Downloader.ahh[/B][*] c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\4t2vg1qj\pin[1].exe - [B]Trojan.Win32.Buzus.bebb[/B] ( DrWEB: Trojan.PWS.LDPinch.4308 )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.ga[/B] ( DrWEB: Trojan.DownLoad.5244 )[*] c:\windows\temp\rdl34.tmp.exe - [B]Trojan.Win32.Buzus.bebb[/B] ( DrWEB: Trojan.PWS.LDPinch.4308 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]