Здравсвуйте!
Очень нужна ваша помощь! Уже несколько дней Доктор Веб находит вирусы.... Мы их лечим-наслед. день все появляется снова...
Не уверена - актуальны ли вчерашние логи?
Printable View
Здравсвуйте!
Очень нужна ваша помощь! Уже несколько дней Доктор Веб находит вирусы.... Мы их лечим-наслед. день все появляется снова...
Не уверена - актуальны ли вчерашние логи?
Пришлите следующие файлы так, как написано в приложении 2 Правил.
[code]
C:\Program Files\Multi_Media\tbMult.dll
C:\DOCUME~1\user\APPLIC~1\GplFilm\idletimeweb.exe
C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD\View cake.exe
[/code]
Выполнить скрипт, прислать содержимое карантина по правилам
[CODE]begin
QuarantineFile('C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD\View cake.exe','');
QuarantineFile('C:\Program Files\Multi_Media\tbMult.dll','');
QuarantineFile('C:\Program Files\HotKey\Keyhook.dll','');
QuarantineFile('C:\Program Files\HotKey\hidhook.dll','');
QuarantineFile('c:\program files\hotkey\hotkey.exe','');
QuarantineFile('c:\progra~1\hotkey\osd.exe','');
end.[/CODE]
все закачала.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\user\applic~1\gplfilm\32 Acid Lies.exe','');
DeleteFile('C:\DOCUME~1\user\APPLIC~1\GplFilm\idletimeweb.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD\View cake.exe');
ExecuteSysClean;
RebootWindows(True);
end.[/code]
Компьютер перезагрузится.
Пришлите файл c:\docume~1\user\applic~1\gplfilm\32 Acid Lies.exe, если он попадет в карантин.
Сделайте новые логи начиная с 10-го пункта Правил.
я правильно поняла, что файл c:\docume~1\user\applic~1\gplfilm\32 Acid Lies.exe я должна была искать следующим образом: после перезагрузки войти в AVZ, выбрать Файл-Просмотр карантина-и там искать? Если все верно, то такого файла там нет...
Поняли правильно. Вот только логи, не надо загружать через форму, а только подозрительные файлы.
1. Нажмите кнопку Пуск - Выполнить.
2. Скопируйте в поле "Открыть" строчку:
"C:\Documents and Settings\All Users\Application Data"
3. Нажмите кнопку ОК.
4. В открывшемся окне выделете и удалите папку INTRADALETHEMFCD
5. [url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O4 - HKLM\..\Run: [THEMFCDOKAYGRIM] C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD\GLUESIZE.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - [url]http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15.cab[/url]
[/quote]
6. Перезагрузите компьютер.
7. Сделайте новые логи.
Дополнительно еще профиксите в HijackThis:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
нашла папку INTRADALETHEMFCD, но мне ее не удалить.
Цитирую что написано в выскакивающем окне: [I]Не удается удалить sect size meta. Объект используется другим пользователем или программой. Закройте все программы, которые могут использовать этот файл, и повторите попытку.[/I]
Я закрыла все программы, отключила мониторин Spider Guard - не удаляется :(
Я так понимаю, пока я эту папку не удалю, ничего дальше делать не нужно?
Проблема в том, что файл трояна меняет свое имя. Поэтому прийдется немного поработать ;)
1. Запустите AVZ.
2. Включите в меню AVZGuard.
3. Через меню Файл - "Отложенное удаление файла" выберите последовательно все файлы из папок:
"C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD"
"C:\Documents and Settings\User\Application Data\gplfilm"
нажимая кнопку ОК и подтверждая удаление файлов и эвристическую чистку.
4. Перезагрузите компьютер не выходя из AVZ.
Внимание! Не удаляйте файлы из других папок.
все сделала, файлы из папок удалились (я проверила после перезагрузки).
Что делать теперь? Удалить эти папки?
Да, и еще, после перезагрузки у меня выскочило окно ВХОД В СЛУЖБУ WINDOWS LIVE ID, такого раньше никогда не было.... Требует имя для входа и пароль...
и еще, фиксить-то нужно? :?
Повторить логи
загрузила
Нужно в HijackThis пофиксить строчку:
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - [url]http://ak.imgfarm.com/images/nocache...up1.0.0.15.cab[/url]
В Панели управления - Назначенные задания - удалите задание (оно там одно должно быть)
Папку "C:\Documents and Settings\All Users\Application Data\INTRADALETHEMFCD" удалите.
Как теперь с вирусами?
Все сделала, только назначенного задания никакого не нашла.
Др.Веб сделал проверку и вирусов не нашел!!!
Ребята, спасибо Вам большое! [IMG]http://www.gifpark.ru/Gifs/SMILES/1/respect.gif[/IMG]
У меня еще пара вопросов, но, возможно, они уже в другой раздел (какой?) -
1) Как пользоваться AVZ и Hijachk (и нужно ли вообще) для профилактики заражения компа?
2) как-нибудь можно сделать так, чтобы антивирусная программа меня предупреждала, что я открываю зараженный сайт?
Спасибо!
[quote=legorda;97502]
1) Как пользоваться AVZ и Hijachk (и нужно ли вообще) для профилактики заражения компа?
2) как-нибудь можно сделать так, чтобы антивирусная программа меня предупреждала, что я открываю зараженный сайт?
Спасибо![/quote]
1. Баз особой на то необходимости использование AVZ и Hijachk может навредить компьтеру, в особенности в случае, если Вы неопытный пользователь.
2. Своевременно обновляемый и включенный антивирус DrWeb способен предупредить о наличии вредноносных обьектов на зараженном сайте и не допустить их запуска. Но 100% гарантии защиты не может дать ни один антивирус.
[quote=MedvedD;97506]2. Своевременно обновляемый и включенный антивирус DrWeb способен предупредить о наличии вредноносных обьектов на зараженном сайте и не допустить их запуска. Но 100% гарантии защиты не может дать ни один антивирус.[/quote]
т.е. он прямо в момент открытия мной вредоносного сайта должен мне сообщить, что он опасен?
[quote=legorda;97512]т.е. он прямо в момент открытия мной вредоносного сайта должен мне сообщить, что он опасен?[/quote]
В момент попытки совершения этим сайтом опасных действий на Вашем компьютере. За это отвечает SpiderNT - компонент DrWeb`a.
У Доктора есть возможность проверить страничку, не открывая её. И даже вообще не скачивая к себе - это сделает их сервер. А результат выведет в ваш браузер.
Тут самое место дать ссылку на это чудо :)
[url]http://www.freedrweb.com/browser/[/url]
[quote]Чтобы воспользоваться данной услугой, Вам надо всего лишь установить специальные расширения для Вашего браузера:
* [URL="http://www.freedrweb.com/browser/mozilla+firefox/"]Для Mozilla/Firefox[/URL]
* [URL="http://www.freedrweb.com/browser/internet+explorer/"]Для Internet Explorer[/URL]
* [URL="http://www.freedrweb.com/browser/opera/"]Для Opera[/URL] [/quote]
На всякий случай c:\program files\hotkey определяется как троян кейлоггер. Если сами не ставили лучше удалить
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\intradalethemfcd\\view cake.exe - [B]Trojan.Win32.Inject.au[/B] (DrWEB: Trojan.Inject.233)[*] c:\\docume~1\\user\\applic~1\\gplfilm\\idletimeweb.exe - [B]Trojan.Win32.Inject.au[/B] (DrWEB: Trojan.Inject.234)[*] c:\\program files\\hotkey\\keyhook.dll - [B]not-a-virus:Monitor.Win32.KeyLogger.ae[/B][/LIST][/LIST]