Подозрение на вирусы в свежеустановленной Win 7

[User Lamer]

Всем привет. Нужна Ваша помощь. Есть подозрение, что в только что установленной Win 7x32 что-то ненужное, постоянное зависание, процессы explorer.exe и Системные прерывания грузят процессор до 100%, какие-то соединения просятся постоянно изнутри и снаружи. Логи сделал сразу после переустановки Windows, не ставил ни одну программу и ни один драйвер. Все проги предустановлены. Заранее спасибо.

[Info_bot]

Уважаемый(ая) User Lamer, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Плохого в логах не увидел

[User Lamer]

умница, чо сказать... на тогда, держи архивчик...тоже ничего плохого?

Проверка:us.zip
Версия антивирусного ядра:7.0.4.9250
Вирусных записей:3436668
Размер файла:216.29 КБ
MD5 файла:7c14f63cbe20305c1bb7df6a2107c380

us.zip - archive ZIP
>us.zip/us.exe infected with Trojan.StartPage.49606

[thyrex]

умница, чо сказать...

Что же, такой умный, сами не справились да еще со свежеустановленной системой без программ и драйверов. И где ж это такие системы с потенциальными вирусами раздают-то? Небось нелицензионная какая-то

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\us.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

[User Lamer]

Прошу прощения, если кого обидел ненароком, я вообще-то с юмором писал...карантин выслал. Не знал, что во вложениях нельзя архивы с вирусом выкладывать, теперь буду знать ) я сам и справился, только справиться и понять это разные вещи, потому и обратился за помощью. AVZ этот троян.start.page (по мнению Dr Web) не детектирует. Помимо Dr Web, еще детектят в онлайн-сканерах AVG и TrendMicro-HouseCall. Поэтому и обратился к Вам узнать, все-таки зловред или нет. При запуске этого файла в диспетчере устройств появляются и пропадают два процесса dllhost а во всех браузерах стартовая страница меняется на top-page. ru или com не помню. Этот файл прописан в автозагрузке винды вместе с приложением Мой интернет 1.0 (Wsearch) и IDM (Internet Download Manager)пришлось сразу после создания учетки и активации ребутиться и загружаться в Safe Mode, чтобы снять галки в автозагрузке через msconfig после этого ничего не грузилось. Как-то так.

[thyrex]

Пока только DrWeb его и детектит согласно вердикту нашего Киберэксперта

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://top-page.ru/?from=us
O4 - Global Startup: us.exe

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены