-
Junior Member
- Вес репутации
- 61
Достал Brontock и не только...
- в компе живет бронток и нахально вылезает изо всех щелей. Последней его фишкой было создание во всех папках файлов .exe с названием, дублирующим корневую папку. Например в папке "Мои документы" была папка Мои документы.ехе, при нажатии на которую открывается проводник
- Система при загрузке выдает сообщение, что не найден файл explorasi.exe
- В свойствах папки в проводнике отображается только три функции: подключить сетевой диск, отключить сетевой диск, синхронизировать
Логи прилагаю. Помогите пожалуйста!
Заранее спасибо. С уважением, Анастасия
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не запускайте эти имя_папки.exe!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Константин\Local Settings\Application Data\smss.exe');
DeleteFile('C:\Program Files\ErrorSafe Free\uers.exe');
DeleteFile('C:\WINDOWS\eksplorasi.exe');
DeleteFile('C:\Documents and Settings\Константин\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пофиксите в HijackThis, если останется:
Код:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O4 - HKCU\..\Run: [ErrorSafeFree] C:\Program Files\ErrorSafe Free\uers.exe /scan
O4 - HKCU\..\Run: [ErrorSafeGratis] "C:\Program Files\ErrorSafe Free\uers.exe" /min
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Константин\Local Settings\Application Data\smss.exe"
Удалите задание в Планировщике.
Обновите базы вашего NOD32 и сделайте полную проверку компьютера.
После этого сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Спасибо.
В HijackThis ничего из указанных Вами кодов не осталось. Нужно ли удалять задание в Планировщике и (простите за глупый вопрос) где этот Планировщик находится?
-
Нужно ли удалять задание в Планировщике и (простите за глупый вопрос) где этот Планировщик находится?
Нужно. Панель Управления - Назначенные задания (в англ. версии Task Scheduler).
I am not young enough to know everything...
-
-
Советую провериться Cure-It, записанным на другой машине на СД. Проверять полностью все диски.
Во время проверки компьютер не трогать!!!
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
-
Больше ничего подозрительного нет. Какие-нибудь проблемы еще остались?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
при загрузке любого документа ворд система предлагает немедленно сохраниться, т.к. не хватает памяти. даже после перезагрузки.
до лечения такой проблемы не возникало, свободного места на диске порядка 4,5 гигов.
и нужно ли включать восстановление системы, отключенное во время первой проверки?
кстати, вчера после проверки обновленными базами нода cureit нашел еще один бронток и один троян. удалил, конечно. но то, что нод это не нашел - насторожило
Последний раз редактировалось pilot_bagira; 27.09.2007 в 09:12.
Причина: дополнение
-
1 . кое количество оперативной памяти установлено ?
2 . прикрепите лог cureit он находится \Documents and Settings\user\DoctorWeb\
-
-
Junior Member
- Вес репутации
- 61
диск С на 37,7 гигов, ОЗУ 448 метров
CureIt.rar
-
где вы набрали эти экзешники в таком количестве ? ....
насчет Word ... попробуйте записать файл NORMAL.DOT c другой машины ..
Последний раз редактировалось V_Bond; 27.09.2007 в 10:18.
-
-
@V_Bond
Это обычный Бронток. Сколько директорий столько и ехе-файлов на диске.
@pilot_bagira
Вопрос такой: что такое диск "F"? Там был "самоходный" червь. Его последствий не наблюдается таких как:в проводнике не отображаются скрытые+системные файлы/папки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
2 PavelA ссори ... не внимательно читал ..
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
V_Bond
насчет Word ... попробуйте записать файл NORMAL.DOT c другой машины ..
простите мою тупость - как это сделать? ))
диск F - это рабочая флешка. и чего делать с этим самоходным вирусом? в
-
про NORMAL.DOT почитайте ...
Бронток уже прибит ...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
V_Bond
про
NORMAL.DOT почитайте ...
Бронток уже прибит ...
ыыыыы!!! вы не представляете, как я счастлива!!!!
нормал.дот утащу завтра с работы.
а что делать с "самоходным" вирусом на флешке?
-
проверить Cureit - должен справиться ... еще такое замечание нод в борьбе с этой заразой (как показывает практика малоэффективен) ... так что хотя бы на время ( пока есть не проверенные носители поставить триал каспера) ...
Последний раз редактировалось V_Bond; 28.09.2007 в 00:22.
-
-
Junior Member
- Вес репутации
- 61
каспер... каспер верещал на бронток и ничего с ним не делал... посему был заменен на нод. есть правда ощущение, что нод слабоват.
думаю все-таки поставить обратно каспер.
и спасибо огромноев за помощь в лечении!!!
-
cure-it ранее флешки не лечил. Не знаю, как посл. версия.
Можно лечиться через AVZ. Поиск файлов на диске - искать autorun.* и удалять их. Там еще д.б. добавочный второй файл, который этот autorun запускает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-