Printable View
Грузится в системный лоток программка idialer. Вижу файлы iddxx.tmp.exe и winxx.tmp.exe в папке WINDOWS/TEMP.
Антивирусник NOD не видит :'-(.
Сделала все согласно инструкции в безопасном режиме при отключенной опции восстановление системы ([URL="http://virusinfo.info/showthread.php?t=1235%29"]http://virusinfo.info/showthread.php?t=1235)[/URL]. Не помогло :'-(
Отправляю логи.
Помогите, пожалуйста.
Cure-It проверяли от Dr.Web.
Есле нет, то проверить.
Желательно в безопасном режиме.
Ссылка: [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]
Качала, обновляла, в безопасном режиме запускала, всякую дрянь, связанную с этим вирусом находила, удаляла. Не помогло. Еще раз сделать?
AVZ -- Выполнить скрипт.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll','');
QuarantineFile('C:\WINDOWS\system32\winjks32.dll','');
DeleteFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll');
DeleteFile('C:\WINDOWS\system32\winjks32.dll');
RebootWindows(true);
end.[/CODE]
После перезагрузки новые логи.
ps если успел, файлы попавшие в карантин прислать в соответствии с приложением 2 правил, с пятого пункта.
В дополнение: в программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки (если останутся):[code]O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll[/code]
Спасибо Вам огромное!!!! :rose-2: Без Вас не справилась бы. Какой замечательный сайт! Реально помогаете, и очень быстро. :P
Выполнила скрипт, в безопасном режиме еще раз drweb, AVZ..., пофиксила (правда в этих строчках уже было missing file). Теперь жду...:pray: Вирус надеюсь накрылся или еще раз логи прислать?
Ой, в дополнении, м.б., подскажите какой-ниб. firewall от этих ... :evil:
[quote=Lola13;92852] Вирус надеюсь накрылся или еще раз логи прислать?[/quote] Логи пришлите, пожалуйста, новые.
Тьфу, тьфу, тьфу... пока вроде не видать...
Проверила папку WINDOWS/TEMP правда подозрительный файл появился
exp60A.tmp, drweb вирус не обнаружил, надеюсь не он...
После последней проверки drweb нашлось
idd203.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
idd56.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
win200.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
win52.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.
размер у exp60A.tmp 0 Кб, также как у вирусных... drweb похожие вирусные нулевого размера тоже не обнаруживал...
drweb cure вирусы снова обнаружила в папках
system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.
Почему снова там они объявились? Самой программы dialer пока не видать.
В папке C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007}
остался UnInstall.exe Может он источник?
C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007} удалить :)
Если есть ещё папки с цифрами вместо имён в C:\Program Files\Common Files\, удаляйте .Не забудьте перед этим нам прислать для анлиза и пополнения баз .
Пофиксить в Hijack This:
[code]
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
[/code]
Пришлите тот файл , который подозреваете как полагаеться в запароленном архиве . пароль : virus
Спасибо! Отправила.
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
строчек этих уже нет - фиксить нечего.
drweb cure снова обнаружила вирус в папкe
C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050
system.dll и Update.exe
Trojan.DownLoader.177199 и
Trojan.DownLoader.17040, соответственно.
В интернет не выходила.
Откуда они могут появляться?
Беспокоит то, что перестала работать сеть между ПК, причем в состояние подключения происходит обмен пакетами, но непонятно с чем-выхода в интернет нет, связь с другим пк не работает, хотя все сетевые имена видны, пишет только, что сетевой ресурс недоступен. М.б., причиной вирусы?
Инет по сети заработал, видимо файрвол блокировал. :)
Но, при перезагрузке снова появляется папка
C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050007}
в которой 2 файла:
system.dll с Trojan.DownLoader.17799 и
Update.exe с Trojan.DownLoader.17040
Восстановление системы отключаю, перегружаю в безоп. режим, сканирую cure, он благополучно их находит и удаляет, папку удаляю, далее AVZ по инструкции, но при загрузке в обычный режим эта папка с этими файлами снова появляется, удалить файлы можно, саму папку невозможно.
Сами эти 2 файла отправляю согласно инстр.
virus.zip - это найденное AVZ еще вчера; virus2.zip - 2 файла Update.exe и setup.dll с Trojan.DownLoader
[B]Lola13[/B], выполните пожалуйста вот такой скрипт в AVZ(Файл->Выполнить скрипт):
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
SearchRootkit(true, false);
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe','Скорее всего в базу безопасных.');
QuarantineFile('CD_Load.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_quarantine.zip');
SetAVZGuardStatus(False);
end.[/CODE]
После выполнения скрипта, в папке AVZ найдите файл [B]virusinfo_quarantine.zip[/B] и пришлите его нам по правилам.
Спасибо!!! Отправила.
fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...
[QUOTE=Lola13;92991]fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...[/QUOTE]
Да, это для базы безопасных...
Пофиксите в HijackThis строку:
[CODE]O4 - HKCU\..\Run: [Cydoor] CD_Load.exe[/CODE]
После этого перегрузите комп. и зделайте новые логи.
Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте :(.
[QUOTE=Lola13;92999]Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте :(.[/QUOTE]
Хм...
В логах больше ничего подозрительного я не вижу.
Попробуйте зделать вот что:
- Откройте одно окно браузера Internet Explorer.
- Запустите AVZ
- Файл->Стандартные скрипты
- Поставте птичку напротив скрипта №2 и нажмите "Выполнить"
- Также зделайте лог HijackThis
- После этого выложыте этих два лога сюда.
PS. Плюс ещё есть вариант, что этого зверя вам подкидывает какая-то зараженая машына в вашей сети.