Printable View
Господа, прошу о помощи!
Xp постоянно сообщает о зараженном состоянии (windows has detected spyware infection). Лечение антивирусом (Avira AntiVir) не помогло. Этот же антивир продолжает в фоновом режиме отлавливать и убивать некоторые вируса.
Позже набрел на ваш форум. Большая просьба просмотреть логи. Заранее благодарю!
Для начала нужно согласно правилам прислать на анализ:
c:\windows\system32\service.exe
c:\winstall.exe
C:\windows\winlogon.exe
C:\windows\System32\msoff.exe
C:\Program Files\Media Access\ *.exe и *.dll из папки
C:\WINDOWS\inet20019\services.exe (и иные *.exe и *.dll из C:\WINDOWS\inet20019\)
и плюс еще до кучи
C:\windows\system32\hpzsnt07.dll
C:\Program Files\Web_Rebates\ - все оставшиеся там файлы *.exe и *.dll
по логам C:\winstall.exe и C:\windows\System32\service.exe почти наверняка трояны ...
Далее нужно разобраться с антиспайверами - я насчитал минимум два, причем оба налознакомые по названию. Их пожалуй стоит деинсталлить ...
Далее нужно удалить папки
C:\Program Files\Common Files\CMEII\
C:\Program Files\Common Files\GMT\
C:\Program Files\Web_Rebates\
C:\Program Files\Media Access\
со всем их оставшимся содержимым. Если какие-то файлы не будут удаляться - добивать через отложенное удаление (судя по логам AVZ основное снес)
Да уж, были попытки самолечения Spy Watcher и Spy Sniper. Первый бесполезен. Второй проводит поиск, после чего предлагает зарегистрироваться. Наверняка их можно удалять.
Что характерно, не все файлы оказались в наличии...
C:\windows\winlogon.exe
C:\windows\System32\msoff.exe
C:\Program Files\Media Access\MediaAccK.exe
отсутствуют.
C:\WINDOWS\inet20019\ сам удалял в безопасном режиме где-то неделю назад..На нее постоянно ссылался антивир.
C:\Program Files\Web_Rebates\ содержит только .dat и .html файлы
Из присланного по DrWeb:
c:\winstall.exe - [B]Trojan.Fakealert[/B]
C:\Program Files\Media Access\MediaAccC.dll - [B]Adware.Winad[/B]
Остальные пока отправлены в вирлаб на проверку
Спасибо огромное за помощь! После удаления winstall.exe и MediaAccC.dll винда перестала жаловацца на шпионов.
Но чую, что это еще не конец...После загрузки осталось всплывающее окно "zaraza" с сообщением "file not found". В автозапуске найти ничего похожего не смог. Оно вроде бы и не мешает, но ...
Повторите с пункта 11 - посмотрим, что там осталось.
ADD
теперь ещё детектируется:
c:\windows\system32\service.exe - [B]Trojan.DownLoader.7493[/B]
а dbgwin11.dll это что?
Походу троян, судя по гуглу...
Ну вот, теперь похоже реально все!
После удаления service.exe и dbgwin11.dll все остаточные явления исчезли. На всякий случай прилагаю логи..
[QUOTE]После удаления dbgwin11.dll[/QUOTE] Жаль что Вы им с нами не поделились...
Сорри, :( ..не взял..