Подозрительный и не удаляемый Startup в автозагрузке
около 2 недели назад подцепил с интернета очень зловредный файл. по имени файла было вроде типа эроскрин/заставка. открыл, но ничего не было и почти сразу удалил. но осталось странный процесс/временный файл ( .tmp ) начал удалять, не удаляется ( появляется через 1 сек.). потом нашел в автозагрузке этот зловред ( картинка_53b6cbe7c28bb1a6deaf6cf4f17fd8 ), он также вообще не удаляется- ни AVZ, ни DrWeb Curiet, ни Unlocker, ни AvtoRuns, ни чем! в истории браузера нашел его ссылку. из-за него при выключение компа выскакивает окно что "не отвечает" .NET-BroadcastEventWindows... только при "завершить сейчас" отключается. когда хотел удалит его в uVS получил "синий экран". кстати от него или нет но почему-то с появлением этого мой хард WD начал щелкать иногда редко, иногда часто временами. пожалуйста, как победить это? эмейл [email protected] примечание: AVZ файл syscheck.zip не сделал
Последний раз редактировалось olejah; 13.04.2013 в 10:17.
Причина: ссылка на вирус
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Bahtiyar Shaniyazov, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\53b6f6cbe7c28bb1a6deaf6cf4f17fd8.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\microsoft.exe ..','');
TerminateProcessByName('d:\documents and settings\admin\local settings\temp\microsoft.exe');
QuarantineFile('d:\documents and settings\admin\local settings\temp\microsoft.exe','');
DeleteFile('d:\documents and settings\admin\local settings\temp\microsoft.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','53b6f6cbe7c28bb1a6deaf6cf4f17fd8');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','53b6f6cbe7c28bb1a6deaf6cf4f17fd8');
DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\microsoft.exe ..');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\53b6f6cbe7c28bb1a6deaf6cf4f17fd8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
скопировал скрипт в блокнот, отключил интернет, антивирус, файрволл, прочие приложения, открыл АВЗ, скопировал с блокнота в окно "выполнит скрипт", не запустился-вышла ошибка. в блокноте сохранял в юникоде. может не всю часть скрипта надо было копировать? первые 4 строки лишние?
А зачем было копировать в Блокнот, если можно было запустить AVZ и скопировать прямо в него?
да-да, я потом "додумался" и сделал так. но потом...! скрипт запустился, через 3-4 сек комп вылетел в "синий экран" на совсем типа "гудбай бэби!". Пояснения- у меня установлены 2 харда: 1. макстор 80гб (родной) 2. вестерн блю 251гб (новый 3 мец). В обоих установлен ХР. Зловред/проблема был в вестерне блю. И все перестали " disk read error occured". вчера полдня ни какие реанимации не помогло, только через диск ХиренсБутСД смог протестировать: макстор сдох (там куча error, bed). так вот вестерн жив (данные есть, читаются и т.д.) но ОС не запускается. Вместо макстора установил сигейт барракуда 250гб (старый, переназначенные сектора-31, был с бекапами медиа-данных) залил ХР и проги. сейчас работаю с него и он видеть вестерн полностью. Но вестерн в загрузке нету как 2ой ОС. Что же делать в вестерне- восстановить с диска, занова установить или в boot.ini править/добавить запись? Ужасно хочется убить хот скриптом, хот топором эту тварь! P.S. Всем юзерам и чайникам! Всегда самым ПЕРВЫМ делом устанавливайте 2IP StartGuard или похожее- только полный контроль АВТОЗАГРУЗКИ может помочь спастись. Остальное игрушки
- - - Добавлено - - -
Сообщение от Bahtiyar Shaniyazov
P.S. Всем юзерам и чайникам! Всегда самым ПЕРВЫМ делом устанавливайте 2IP StartGuard или похожее- только полный контроль АВТОЗАГРУЗКИ может помочь спастись. Остальное игрушки
А вообще самая идеальная защита- эта не иметь интернет, компьютер, ноутбук/нетбук, флешки-млешки и т.п. !
короче проблема решена - все таки пришлось переустановить систему и все заново но более скрупулёзно настроить и заливать только нужные и не дублирующие по функционалу проги. и буду регулярно сканировать с AVZ.
Уважаемый(ая) Bahtiyar Shaniyazov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от thyrex
!
