Смотря насколько они непонятные. Имел ввиду файл в корне системного диска, который детектируется. Проверьте, будут ли они опять появляться после деинсталляции uTorrent
Printable View
Смотря насколько они непонятные. Имел ввиду файл в корне системного диска, который детектируется. Проверьте, будут ли они опять появляться после деинсталляции uTorrent
Удалил, пока жду. На ряду с детектируемым файлом были еще соданы автораны там же в корне всех дисков. Их пока не трогал
Не помогло, только что появился опять экзешник с непонятным названием, только теперь причина не uTorrent, а Firefox. Все эти приложения были запущены, может это что то значит.
Так, нужно отследить причину, по которой возникают файлы. Если дело не в процессе, значит может быть в библиотеке. Ещё бы не мешало [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]заплатки[/url] на систему поставить + [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url]. Сделаем так - в то время, когда файлы будут появляться, запустите 3-ий стандартный скрипт. Пусть снимет лог, а мы посмотрим. При этом должен быть запущен "процесс-родитель" этих файлов, в данном случае FireFox.
Дополнительно, сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix [/URL]
После ComboBox по умолчанию стал IE а был Firefox и в трее появился значок щита, я его когда то отключал. Это нормально?
А заплатки и IE 8 когда ставить, сейчас или после лечения? Сделал логи без заплаток и IE 8.
Кстати на втором компе который был в одной сетке с ноутбуком, в свойствах расшаренного диска на вкладке Безопасность появилась странная запись и разрешен там полный доступ. Может это как то связано, я отключил 2 дня назад от сетки комп, вроде бы таких чудес не наблюдается, но отключил я все таки позже чем чудеса стали появляться. Выделено красным на картинке
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[CODE]KillAll::
File::
C:\tcncto.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
[QUOTE='dimonbk;733556']в свойствах расшаренного диска на вкладке Безопасность появилась странная запись и разрешен там полный доступ.[/QUOTE] Да, этого быть не должно.
Сделал. А что делать с этой записью на вкладке Безопасность на втором компе? Ведь я так понял что этот вирус через данную запись и пробирается на все компы? Кстати эта запись почти совпадает с названием папки которая хранится в папке RECYCLER
Запретите доступ этой записи и понаблюдайте. Конечно это вполне логично, что в расшаренный диск подкидывают что-то.
Я удалил но комп к ноуту пока не подключаю. А что мне дальше делать с этим вирусом. Нужна Ваша помощь....)))
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('F:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\tcncto.exe');
DeleteFile('F:\tcncto.exe');
DeleteFile('D:\tcncto.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[QUOTE]tcncto.exe[/QUOTE]
Этот файл есть не только на С но и на D и F дисках, оттуда не надо удалять?
Добавил команды в скрипт, так как этот файл вообще не виден в логах АВЗ, бьём вслепую практически.
на ряду с tcncto.exe этот вирус создал на всех этих дисках еще файлы без расширения "xerfoj7" и "khy". Их тоже убивать?
Именно так. Я отказываюсь верить в то, что их не может вычистить CureIt, когда детект на него уже есть. Пролечитесь так - [URL="http://virusinfo.info/showpost.php?p=306441&postcount=2"]http://virusinfo.info/showpost.php?p=306441&postcount=2[/URL]
Наконец то проверил. Нашел только в кэше фаерфокса что то и combofix.exe. Я просто удалил и все. Пока не знаю что и как. Что то надо дальше делать? Заранее спасибо
Что сейчас - продолжают появляться?
Начали опять появляться. Что никак от этой заразы не получается избавится. А такой вопрос на крайний случай. У меня два логических диска на винте (С и D). Где вирус обычно прописывается, т.е. если форматнуть диск С и поставить заново систему а диск D не трогать, то вирус останется или ему уже конец будет? Ради интереса. А так интересно продолжить что с этим делать?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 7 минут[/I][/B][/color][/size]
Что мне делать?
При сканировании с помощью Live CD флэшки свои подключали?
Флешки не подключал, вообще ничего не трогал. Не дождался. Переустановил систему. Теперь на должен появиться?
Проверьте ваши флэшки на предмет заражения.