Здравствуйте!
У меня компьютер заболел чем-то похожим на описанное тут: http://virusinfo.info/showthread.php?t=9945
На С:\ создался файл cd1041.nls, а после следующих перезагрузок и другие cd****.nls. Файл c:\windows\system32\ndis.sys оказался новым, измененным и большим. Попробовал сделать, как описано в указанной выше ветке форума. Не помогло: hijackthis не показывал такой строчки про services.exe, как было там. А файл ndis.sys не удалялся - он САМ восстанавливался с новой датой изменения и еще большим размером (хотя восстановление системы отключено).
Файрвол говорит, что проводник explorer.exe пытается вылезать в интернет, но файл проводника неизмененнный. И что файл c:\windows\system32\koos.exe некий появился и тоже куда-то лазит, но его удаление ничего не дало.
Сделал все требуемые логи (это заняло 3 часа).
ПОмогите, пожалуйста! Уже не знаю, что и делать ещё. Наверное, тут еще и следы прошлых недолеченных гадостей остались, что ли.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
начните выполнять правила точно, тогда займёт 20 минут
Скачать последнею версию AVZ и отключить все проги в трее включая старый никому не нужный симантек antivirus.
Спасибо.
Извините, я, наверное, чего-то недопонимаю, но я скачал новый AVZ, обновил его, отключил полностью и совсем все-все программы и стал заново делать стандартный скрипт - через полчаса он мне стал показывать снова, что осталось еще 50 минут. Может, с этим все-таки что-то не так?
Поэтому стал делать, как написал PavelA.
Карантин загрузил.
Утилиту запустил.
В п. 4 PavelA не написал собственно скрипт, который надо выполнить. Напишите, пожалуйста!
Сейчас буду пробовать снова сделать логи, просто боюсь, что это может опять затянуться.
И глупый вопрос: что значит "установите на Windows Service pack 2" - и когда это делать?
Спасибо, про Windows SP2 понял. Поставить по ссылке - поставлю. К сожалению, для переустановки винды сейчас не лучший момент.
В сообщении PavelA изначально было в пункте 4 опять запустить некий скрипт, а сейчас уже этого нет. Значит, после скрипта и утилиты - уже должно что-то улучшиться? У меня после этого ndis.sys обновился, стал опять небольшого размера (типа 170 кб), но файрвол фиксировал, что проводник по-прежнему пытается куда-то залезть.
Сейчас пишу с другого компа. Старый - выполняет стандартный скрипт AVZ, и опять та же история: 50 минут уже прошло, и он пишет, что осталось 1ч.40мин. Не знаю, что я теперь неправильно делаю: все обновил, все программы отключил...
А что-то про карантин уже можно сказать, пока логи, так сказать, готовятся, или нет?
Обнадежили!
Жаль, что у Вас в правилах нигде не написано, что лучше очистить временные файлы...
Я смотрю на строку состояния: он час "сидел" как раз на temporary internet files.
Сейчас вроде осталось 19 минут, пишет - надеюсь, скоро пришлю логи
Вдогонку...
Антивирус говорит, что нашел и отправил в свой карантин файл c:\windows\system32\totour.exe
Делать что-то отсюда: http://virusinfo.info/showthread.php?t=8783?
Или что посоветуете?
После перезагрузки прислать карантин. Можно предварительно посмотреть, есть ли там файлы.
Поискать через AVZ C:\WINDOWS\d.exe, интересно что это таке? Если найдется прислать.
Временные файлы можно почистить CCleaner.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Чего-то, по-моему, не сработало.
Загрузился в безопасном режиме, запустил скрипт в avz. И буквально через 3 секунды комп стал перегружаться; я даже не успел посмотреть, что там он в строке написал. Перегрузился - а в карантине пусто, ничего нового не появилось. Поиск d.exe в avz тоже ничего не дал, а искать d*.exe есть смысле, наверное, много линего вылезет?
Может, можно попробовать не в safe mode этот скрипт, или нет?
И еще странно. Я удалил временные файлы эксплорера, а во время поиска файла avz опять очень долго проверял папки в temporary internet files.
И еще при загрузке (если это имеет значение) вылезла такая ошибка:
microsoft visual c++ runtime library
runtime error
program c:\program files\HP\hpcoretech\comp\hptskmgr.exe
abnormal program termination
(это от сканера программа)
Чего теперь можно сделать попробовать, подскажите?
Долго смотрел вашу тему и логи. Мысли такие:
1. Вероятно d.exe на самом деле отсутствует.
2. Что за uninstall.exe у вас в папке Автозагрузка?
3. Надо выцеплять systkw.dll и fwdrv.sys - явные зловреды.
Большое спасибо!
Что-то начинает вырисовываться... Я стал искать файл uninstall.exe программой avz - и она почему-то его не нашла. Хотя я просто открыл и нашел его проводником тут: c:\documents and settings\IIM\главное меню\программы\автозагрузка\uninstall.exe. А AVZ почему-то его там не находит. Его можно как-то в карантин поместить, если он не находится. Я попробовал - у меня получилось его удалить в корзину. И вот что важно: он создан как раз тогда, когда вся эта гадость у меня полезла (сегодня в 0.1. Что с ним сделать теперь? (Я что-то не разобрался, можно как-то вручную просто файл в карантин avz поместить).
В Hijack пофиксил.
Скрипт запустил.
Что попало в карантин - прислал.
Но как-то я даже увидел свет в конце туннеля, мне кажется
Что теперь нужно дальше делать?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: